Способах
проникновения и типичных ошибках, которые
можно в них найти. Сегодня предлагаю
несколько практических примеров того, как
можно правильно взаимодействовать с
беспроводной сетью и что полезного можно из
нее извлечь.

Фаза 1: ключ WEP

Первая задача для хакера — проникнуть в
сеть, защищенную WEP. Для этого используем
утилиту под названием AirSnort ,
при помощи которой можно пассивно
мониторить передающиеся по воздуху данные.
Перехватив достаточное количество пакетов
(от 5 до 10 миллионов) можно с легкостью
получить ключ к сети. Стоит отметить, что
все 802.11b сети с 40/128 битным WEP шифрованием
уязвимы, более того, в отличии от
«проводных» локальных сетей действие
снифера не поддается никакому
обнаружению.

Для работы AirSnort требуется сетевая
карточка, которая:

• поддерживает режим RF мониторинга
• может передавать RF-пакеты из режима на
  интерфейс PF_PACKAGE

Это, например, Cisco Aironet, любая Prism-карточка с
wlan-ng драйверами, карты Orinoco с новыми orinoco_cs
драйверами. Кроме того требуется последний libpcap
и gtk+-2.2 and gtk+-devel для работы в графическом
интерфейсе.

Понятно, что только такие карты могут
перехватывать пакеты не будучи точкой
доступа или промежуточной передающей
точкой. Следовательно, только так мы можем
получать пакеты с нужного канала без
участия в их передаче. AirSnort так же позволяет
работать в promiscuous режиме, отличие его в том,
что необходимо зарегистрироваться на точке
доступа и лишь потом перехватывать данные,
то есть работать только в сети, которая, так
сказать, доверяет сниферу.

Загрузив AirSnort делаем так:

tar -xzf airsnort-0.2.3a.tar.gz
cd airsnort-0.2.3a
./autogen.sh
make

Запускаем и видим примерно следующее:

Теперь осталось лишь нажать кнопочку Start и
ждать. Сколько? На этой стадии это главный
вопрос. Может понадобится несколько
пакетов, а может несколько миллионов. В
конце концов программа ключ вычислит и
предоставит в ваше пользование. После этого
вы можете спокойно его использовать для
входа в сеть.

Другая утилита, при помощи которой можно
проникнуть внутрь сети — .
Действует она аналогично AirSnort, однако в
меньшей степени автоматизирована, так что
после сбора пакетов придется пользовать
скрипт для вычисления WEP ключа.

Фаза 2: сканирование портов

Следующая традиционная задача —
сканирование портов во вновь обретенной
сети. Это самый простой и эффективный путь
для обнаружения приятных аномалий. Тут, в
общем говоря, все стандартно — тот же NMAP
легко и беспроблемно послужит вам в
открытии чудесных мест в сети. О действиях с
Nmap мы так же не раз писали, так что осбого
труда в его использовании думаю не
возникнет.

Фаза 3: обнаружение и использование
уязвимостей

Заключительный этап после проникновения
в беспроводную сеть и обнаружения открытых
портов — определение приложений, стоящих за
портами, и уязвимостей в них. В Linuxе конечно
существует и ряд утилит для этого.

В этой части описана техника взлома компьютеров Windows 2000/XP в сетях TCP/IP. В уроке 1 мы обсуждали методы и средства, применяемые хакерами для проникновения в компьютерную систему организации. Там мы указали, что для реализации такой задачи хакер может воспользоваться локальным доступом, скажем, для элементарной кражи оборудования, например, жесткого диска, или взломать систему удаленно. Удаленное проникновение можно выполнить либо изнутри локальной сети, подсоединив к сетевому кабелю компьютер с хакерским программным обеспечением, либо извне - воспользовавшись Интернетом или телефонной линией с модемом. Угрозы локального проникновения и атаки из Интернета мы обсудили в предыдущих главах, а в этой части книги мы сконцентрируем внимание на атаках компьютеров Windows 200/XP изнутри локальной сети. Мы рассмотрим уязвимости протоколов TCP/IP, средств удаленного администрирования, брандмауэров, сетевых соединений.

Хакинг компьютеров Windows 2000/XP

Итак, хакеру удалось подсоединиться к локальной сети, воспользовавшись каким-то заброшенным (чужим) компьютером, или нелегально подсоединиться к сетевому кабелю, проходящему где-то в подвале, применив специальное устройство. Впрочем, все это, как правило, излишне - при царящем в нынешних локальных сетях хаосе достаточно получить доступ к обычному сетевому компьютеру - и далее все зависит от вас. Итак, хакер получил доступ к локальной сети и теперь хочет получить доступ к информационным ресурсам сетевых хостов. Как же он может это сделать?

Далее работа утилит хакинга иллюстрируется на примере нашей экспериментальной сети TCP/IP, которую мы использовали на протяжении всей книги. Эта сеть позволит продемонстрировать набор технических приемов хакинга сетей TCP/IP без нарушения чьих-либо прав на конфиденциальность информации. Автор категорически настаивает на неприменении описанных далее средств к реальным сетям и предупреждает о возможной ответственности.

В Главе 1 мы описали все этапы хакерского нападения и указывали, что хакер вначале попытается узнать все что только можно об организации атакуемой сети и применяемых в ней сетевых технологиях. В этой главе мы опустим этап предварительного сбора данных - он достаточно подробно описан в Главе 12 применительно к задачам хакинга Web-сайтов. Вместо этого мы поподробнее рассмотрим все последующие этапы сетевой атаки, которые, собственно, и делают хакинг таким «интересным» занятием. Как указывалось в Главе 1, первое, что должен сделать хакер для проникновения в сеть - это выполнить ее сканирование и инвентаризацию.

Сканирование сети TCP/IP

Сканирование преследует цель определение IP-адресов хостов атакуемой сети, и для выполнения сканирования можно воспользоваться утилитой ping из набора средств, представленных в пакете W2RK (Windows 2000 Resource Pack). Эта утилита посылает сетевым хостам с IP-адресами в заданном диапазоне пакеты протокола ICMP (Internet Control Message Protocol - Протокол управляющих сообщений в сети Интернет). Если в ответ на посланный пакет приходит ответ - значит по соответствующему адресу находится сетевой хост. На Рис. 1 представлен результат сканирования утилитой ping хоста Sword-2000 .

Рис. 1. Результат сканирования хоста Sword-2000 утилитой ping

Из результата видно, что компьютер по указанному адресу подключен к сети и соединение работает нормально. Это самый простой способ сканирования сети, однако, он не всегда приводит к нужным результатам, поскольку многие узлы блокируют ответную отправку пакетов ICMP с помощью специальных средств защиты. Если обмен данными по протоколу ICMP заблокирован, хакерами могут быть использованы другие утилиты, например, hping (http://www.hping.org/ ). Эта утилита способна фрагментировать (т.е. делить на фрагменты) пакеты ICMP, что позволяет обходить простые устройства блокирования доступа, которые не умеют делать обратную сборку фрагментированных пакетов.

Другой способ обхода блокирования доступа - сканирование с помощью утилит, позволяющих определить открытые порты компьютера, что в ряде случаев способно обмануть простые системы защиты. Примером такой утилиты является SuperScan (http://www.foundstone.com ), которая предоставляет пользователям удобный графический интерфейс (см. Рис. 2).

Рис. 2. Результаты сканирования сети утилитой SuperScan 3.0

На Рис. 2 приведен результат сканирования сети в диапазоне IP-адресов 192.168.0.1-192.168.0.100 . Обратите внимание на древовидный список в нижней части окна, отображающий список всех открытых портов компьютера Ws7scit1xp , среди которых - любимый хакерами TCP-порт 139 сеансов NetBIOS. Запомнив это, перейдем к более детальному исследованию сети - к ее инвентаризации.

Инвентаризация сети

Инвентаризация сети заключается в определении общих сетевых ресурсов, учетных записей пользователей и групп, а также в выявлении приложений, исполняемых на сетевых хостах. При этом хакеры очень часто используют следующий недостаток компьютеров Windows NT/2000/XP - возможность создания нулевого сеанса NetBIOS с портом 139.

Нулевой сеанс

Нулевой сеанс используется для передачи некоторых сведений о компьютерах Windows NT/2000, необходимых для функционирования сети. Создание нулевого сеанса не требует выполнения процедуры аутентификации соединения. Для создания нулевого сеанса связи выполните из командной строки Windows NT/2000/XP следующую команду.

net use \\1.0.0.1\IPC$ "" /user: ""

Здесь 1.0.0.1 - это IP-адрес атакуемого компьютера Sword-2000 , IPC$ - это аббревиатура Inter-Process Communication - Межпроцессное взаимодействие (название общего ресурса сети), первая пара кавычек "" означает использование пустого пароля, а вторая пара в записи /user:"" указывает на пустое имя удаленного клиента. Подключившийся по нулевому сеансу анонимный пользователь по умолчанию получает возможность запускать диспетчер пользователей, применяемый для просмотра пользователей и групп, исполнять программу просмотра журнала событий. Ему также доступны и другие программы удаленного администрирования системой, опирающиеся на протокол SMB (Server Message Block - Блок сообщений сервера). Более того, подсоединившийся по нулевому сеансу пользователь имеет права на просмотр и модификацию отдельных разделов системного реестра.

В ответ на ввод вышеприведенной команды, не защищенный должным образом компьютер отобразит сообщение об успешном подключении; в противном случае отобразится сообщение об отказе в доступе. В нашем случае появится сообщение об успешном выполнении соединения компьютера Alex-З (система Windows XP) с компьютером Sword-2000 (система Windows 2000). Однако нулевой сеанс Sword-2000 с Alex-З уже не получается - очевидно, разработчики Windows XP учли печальный опыт «использования» нулевого сеанса в системах Windows 2000, которые, по умолчанию, позволяли нулевые сеансы.

Нулевые сеансы связи используются всеми утилитами инвентаризации сетевых ресурсов компьютеров Windows NT/2000/XP. Самый простой метод инвентаризации состоит в использовании утилит net view и nbtstat из пакета W2RK. Утилита net view позволяет отобразить список доменов сети.

В результате отобразилось название рабочей группы SWORD. Если указать найденное имя домена, утилита отобразит подсоединенные к нему компьютеры.

А теперь определим зарегистрировавшегося на данный момент пользователя серверного компьютера Sword-2000 и запущенные на компьютере службы. С этой целью применим утилиту nbtstat; результат ее применения представлен на Рис. 3.

Рис. 3. Утилита nbtstat определила пользователей и службы компьютера А1ех-3

На Рис. 3 отображена таблица, в которой первый столбец указывает имя NetBIOS, вслед за именем отображен код службы NetBIOS. В частности, код <00> после имени компьютера означает службу рабочей станции, а код <00> после имени домена - имя домена. Код <03> означает службу рассылки сообщений, передаваемых вошедшему в систему пользователю, имя которого стоит перед кодом <03> - в данном случае, Administrator. На компьютере также запущена служба браузера MSBROWSE, на что указывает код <1 Е> после имени рабочей группы SWORD.

Итак, у нас уже имеется имя пользователя, зарегистрированного в данный момент на компьютере - Administrator. Какие же общие сетевые ресурсы компьютера Sword-2000 он использует? Снова обратимся к процедуре net view, указав ей имя удаленного компьютера. Результаты представлены на Рис. 4.

Рис. 4. Общие ресурсы компьютера Sword-2000

Как видим, учетная запись пользователя Administrator открывает общий сетевой доступ к некоторым папкам файловой системе компьютера Sword-2000 и дисководу CD-ROM. Таким образом, мы уже знаем о компьютере достаточно много - он разрешает нулевые сеансы NetBIOS, на нем работает пользователь Administrator, открыты порты 7, 9, 13, 17, 139, 443, 1025, 1027 компьютера, и в число общесетевых ресурсов входят отдельные папки локального диска С:. Теперь осталось только узнать пароль доступа пользователя Administrator - и в нашем распоряжении будет вся информация на жестком диске С: компьютера. Чуть ниже мы покажем, как для этого используется утилита pwdump3.exe удаленного извлечения паролей из системного реестра Windows NT/2000/XP и программа LC4 их дешифрования.

А что можно сделать, если протокол NetBIOS через TCP/IP будет отключен (компьютеры Windows 2000/XP предоставляют такую возможность)? Существуют и другие средства инвентаризации, например, протокол SNMP (Simple Network Management Protocol - Простой протокол сетевого управления), обеспечивающий мониторинг сетей Windows NT/2000/XP.

А сейчас, после того, как мы собрали сведения об атакуемой системе, перейдем к ее взлому.

Реализация цели

Исполнение атаки на системы Windows NT/2000/XP состоит из следующих этапов.

Проникновение в систему, заключающееся в получении доступа.

Расширение прав доступа, состоящее во взломе паролей учетных записей с большими правами, например, администратора системы.

Выполнение цели атаки - извлечение данных, разрушение информации и т.д.

Проникновение в систему

Проникновение в систему начинается с использования учетной записи, выявленной на предыдущем этапе инвентаризации. Для определения нужной учетной записи хакер мог воспользоваться командой nbtstat или браузером MIB, или какими-либо хакерскими утилитами, в изобилии представленными в Интернете. Выявив учетную запись, хакер может попробовать подсоединится к атакуемому компьютеру, используя ее для входной аутентификации. Он может сделать это из командной строки, введя такую команду.

D:\>net use \\1.0.0.1\IPCS * /urAdministrator

Символ «*» в строке команды указывает, что для подключения к удаленному ресурсу IPC$ нужно ввести пароль для учетной записи Administrator. В ответ на ввод команды отобразится сообщение:

Type password for\\1.0.0.1\IPC$:

Ввод корректного пароля приводит к установлению авторизованного подключения. Таким образом, мы получаем инструмент для подбора паролей входа в компьютер - генерируя случайные комбинации символов или перебирая содержимое словарей, можно, в конце концов, натолкнуться на нужное сочетание символов пароля. Для упрощения подбора существуют утилиты, которые автоматически делают все эти операции, например, SMBGrind, входящая в коммерческий пакет CyberCop Scanner компании Network Associates. Еще один метод - создание пакетного файла с циклическим перебором паролей.

Однако удаленный подбор паролей - далеко не самое мощное орудие взлома. Все современные серверы, как правило, снабжены защитой от многократных попыток входа со сменой пароля, интерпретируя их как атаку на сервер. Для взлома системы защиты Windows NT/2000/XP чаще используется более мощное средство, состоящее в извлечении паролей базы данных SAM (Security Account Manager -Диспетчер учетных данных системы защиты). База данных SAM содержит шифрованные (или, как говорят, хешированные) коды паролей учетных записей, и они могут быть извлечены, в том числе удаленно, с помощью специальных утилит. Далее эти пароли дешифруются с помощью утилиты дешифрования, использующей какой-либо метод взлома, например, «грубой силой», либо словарной атакой, путем перебора слов из словаря.

Наиболее известной утилитой дешифрования, применяемой для взлома паролей SAM, является программа LC4 (сокращение от названия LOphtcrack, новейшая версия - LC4) (http://www.atstake.com/research/redirect.html ), которая действует в паре с такими утилитами.

Samdump - извлечение хешированных паролей из базы данных SAM.

Pwdump - извлечение хешированных паролей из системного реестра компьютера, включая удаленные системы. Эта утилита не поддерживает усиленное шифрование Syskey базы SAM (подробнее о Syskey см. Главу 4).

Pwdump2 - извлечение хешированных паролей из системного реестра, в котором применено шифрование Syskey. Эта утилита поддерживает работу только с локальными системами.

Pwdump3 - то же, что и Pwdump2, но с поддержкой удаленных систем.

Что такое шифрование Syskey, мы подробно обсудили в Главе 4; здесь укажем, что это средство усиленного шифрования базы SAM, которое устанавливается в системах Windows 2000/XP по умолчанию, а для систем Windows NT должно быть установлено как дополнительная возможность.

В Главе 4 было описано, как следует извлекать пароли из локального системного реестра, сейчас же рассмотрим, как эта операция выполняется удаленно. Для извлечения хешированных паролей из компьютера Sword-2000 применим утилиту Pwdimp3, запустив ее из командной строки:

C:\>pwdump3 sword-2000 > password.psw

Здесь в командной строке указан целевой компьютер Sword-2000 , а далее задано перенаправление вывода извлеченных данных в файл с именем password.psw. Содержимое полученного в результате файла представлено в окне приложения Блокнот (Notepad) (Рис. 5).

Рис. 5. Результат извлечения хешированных паролей из компьютера Sword-2000

Как видим, в файле password.psw содержится учетная запись Administrator, которую мы нашли на этапе инвентаризации. Чтобы расшифровать пароли, следует применить программу LC4, и, хотя пробная версия этой программы поддерживает только дешифрование паролей методом словарной атаки, мы все же сможем взломать пароли компьютера Sword-2000 (Рис. 6).

Рис. 6. Дешифрование паролей, удаленно извлеченных из реестра компьютера Sword-2000

Для этого потребовалось всего несколько секунд работы компьютера с процессором Celeron 1000 МГц, поскольку пароль 007 состоит всего из трех цифр и очень слаб. Применение более сложных паролей значительно повышает крипто-стойкость системы, и их взлом может потребовать неприемлемого увеличения времени работы приложения LC4.

Таким образом, хакер, имея одну небольшую зацепку - возможность создания нулевых сеансов подключения NetBIOS к компьютеру - в принципе, сможет получить пароли учетных записей компьютера, включая администратора системы. Если же ему не удастся сразу получить пароль учетной записи с большими правами, хакер постарается расширить свои права доступа.

Расширение прав доступа и реализация aтaku

Для расширения прав доступа к системе взломщики используют самые разнообразные методы, но основное их отличие - необходимость внедрения в компьютер специальной программы, позволяющей выполнять удаленное управление системой, в том числе регистрацию действий пользователя. Цель - овладение учетной записью, позволяющей получить максимально широкий доступ к ресурсам компьютера. Для этого на атакуемый компьютер могут быть внедрены так называемые клавиатурные шпионы - программы, регистрирующие нажатия клавиш. Все полученные данные записываются в отдельный файл, который далее может быть отослан на компьютер взломщика по сети.

В качестве примера клавиатурного шпиона можно назвать популярный регистратор Invisible Key Logger Stealth (IKS) (http://www.amecisco.com/iksnt.htm ). Кейлоггер IKS - пример пассивного трояна, который работает сам по себе и не обеспечивает своему хозяину средств удаленного управления.

Другой вариант действий хакера - помещение в систему активного трояна, т.е., например, популярного троянского коня NetBus (http://www.netbus.org ) или В02К (Back Orifice 2000) (http://www.bo2k.com ), которые обеспечивают средства скрытого удаленного управления и мониторинга за атакованным компьютером.

Утилиты NetBus и ВО2К позволяют реализовать одну из важнейших целей хакерской атаки - создание в удаленной системе потайных ходов. Прорвавшись один раз в компьютер жертвы, хакер создает в нем множество дополнительных «потайных» ходов. Расчет строится на том, что пока хозяин компьютера ищет и находит один ход, хакер с помощью пока еще открытых ходов создает новые потайные ходы, и так далее. Потайные ходы - крайне неприятная вещь, избавиться от них практически невозможно, и с их помощью взломщик получает возможность делать на атакованном компьютере что угодно - следить за деятельностью пользователя, изменять настройки системы, а также делать ему всякие гадости типа насильственной перезагрузки системы или форматирования жестких дисков.

В качестве примера троянского коня рассмотрим работу старого, заслуженного троянского коня NetBus, разработанного группой хакеров cDc (Cult of the Dead Cow - Культ мертвой коровы).

Приложение NetBus

Приложение NetBus относится к числу клиент-серверных программ, т.е. одна его часть, серверная, устанавливается на атакуемом компьютере, а другая часть, клиентская, на компьютере хакера. Инсталляция приложения, выполняемая на локальном компьютере, не вызывает проблем. В диалоге мастера установки следует указать требуемый компонент - серверный или клиентский, после чего происходит его загрузка на компьютер. Скрытая, удаленная, установка сервера на атакованном компьютере и запуск серверной программы - это задача посложнее, и мы ее отложим. Вначале рассмотрим работу приложения NetBus на примере двух наших сетевых компьютеров: клиента - компьютер Ws7scit1xp (IP-адрес 192.168.0.47), и сервера - компьютер Ws6scit1xp (IP-адрес 192.168.0.46).

Для успешной работы троянского коня NetBus на атакуемом компьютере вначале требуется запустить серверный компонент приложения, называемый NBSvr (настоящие хакеры должны ухитриться сделать это удаленно). При запуске программы NBSvr отображается диалог, представленный на Рис. 7.

Рис. 7. Диалог сервера NetBus

Перед использованием сервера NetBus утилиту NBSvr необходимо настроить. Для этого выполните такую процедуру.

В диалоге NB Server (Сервер NB) щелкните на кнопке Settings (Параметры). На экране появится диалог Server Setup (Параметры сервера), представленный на Рис. 8.

Рис. 8. Диалог настройки сервера NetBus

Установите флажок Accept connections (Принимать соединения).

В поле Password (Пароль) введите пароль доступа к серверу NetBus .

Из открывающегося списка Visibility of server (Видимость сервера) выберите пункт Full visible (Полная видимость), что позволит наблюдать за работой сервера NetBus (но для работы лучше выбрать полную невидимость).

В поле Access mode (Режим доступа) выберите Full access (Полный доступ), что позволит делать на компьютере Ws7scit1xp все возможные операции удаленного управления.

Установите флажок Autostart every Windows session (Автозагрузка при каждом сеансе работы с Windows), чтобы сервер автоматически загружался при входе в систему.

Щелкните мышью на кнопке ОК . Сервер готов к работе. Теперь настроим работу клиента - утилиту NetBus.exe .

Запустите утилиту NetBus.exe , после чего отобразится окно NetBus 2.0 Pro , представленное на Рис. 9.

Рис. 9. Рабочее окно клиента NetBus

Выберите команду меню Host * Neighborhood * Local (Хост * Соседний хост * Локальный). Отобразится диалог Network (Сеть), представленный на Рис. 10.

Рис. 10. Диалог выбора хоста для подключения клиента NetBus

Щелкните на пункте Microsoft Windows Network (сеть Microsoft Windows) и откройте список сетевых хостов (Рис. 11).

Рис. 11. Диалог выбора серверного хоста для подключения

Выберите компьютер с установленным сервером NetBus, в нашем случае Ws7scit1xp , и щелкните на кнопке Add (Добавить). На экране появится диалог Add Host (Добавить хост), представленный на Рис. 12.

Рис. 12. Диалог добавления нового хоста - сервера NetBus

В поле Host name/IP (Имя хоста/IP) введите IP-адрес серверного хоста 192.168.0.46.

В поле User name (Имя пользователя) введите имя взломанной учетной записи Administrator , а в поле Password (Пароль) - дешифрованный утилитой LC4 пароль 007 .

Щелкните на кнопке ОК . На экране отобразится диалог Network (Сеть).

Закройте диалог Network (Сеть), щелкнув на кнопке Close (Закрыть). На экране отобразится окно NetBus 2.0 Pro с записью добавленного хоста (Рис. 13).

Рис. 13. Окно NetBus 2.0 Pro с записью добавленного хоста - сервера NetBus

Чтобы подсоединиться к хосту Ws7scit1xp , щелкните правой кнопкой мыши на пункте списка Ws7scit1xp и из отобразившегося контекстного меню выберите команду Connect (Подсоединить). В случае успеха в строке состояния окна NetBus 2.0 Pro отобразится сообщение Connected to 192.168.0.46 (v.2.0) (Подключен к 192.168.0.46 (v.2.0)).

После успешного соединения с серверным компонентом NetBus хакер, используя инструменты клиента NetBus, может сделать с атакованным компьютером все что угодно. Практически ему будут доступны те же возможности, что и у локального пользователя Administrator. На Рис. 14 представлен список инструментов клиента NetBus, отображенный в меню Control (Управление).

Рис. 14. Меню Control содержит обширный список инструментов управления удаленным хостом

Среди этих инструментов отметим средства, собранные в подменю Spy functions (Средства шпионажа) и содержащие такие полезные инструменты, как клавиатурный шпион, перехватчики экранных изображений и информации, получаемой с видеокамеры, а также средства записи звуков. Таким образом, проникший в ваш компьютер хакер может подглядывать, подслушивать и прочитывать все, что вы видите, говорите или вводите с клавиатуры компьютера. И это еще не все! Хакер может модифицировать системный реестр компьютера Sword-2000 , запускать любые приложения и перезагружать удаленную систему Windows, не говоря уж о возможностях просмотра и копирования любых документов и файлов.

Как уже упоминалось, описанная в этом разделе утилита сервера NetBus, так же как и описанный в предыдущем разделе клавиатурный шпион IKS, требуют предварительного запуска на атакуемом компьютере. Последняя задача составляет целую отдельную область хакинга и заключается в поиске открытых по недосмотру каталогов информационного сервера IIS, а также в использовании методов «социальной инженерии», применяемых для внедрения в компьютер троянских коней или вирусов. (Подробнее методы «социальной инженерии» рассматриваются на протяжении всей книги).

Coкpытие следов

Аудит, несомненно, является одним из наиболее серьезных средств защиты от хакинга компьютерной системы, и отключение средств аудита - одна из первых операций, которую выполняют хакеры при взломе компьютерной системы. Для этого применяются различные утилиты, позволяющие очистить журнал регистрации и/или отключить аудит системы перед началом «работы».

Для отключения аудита хакеры могут открыть консоль ММС и отключить политику аудита, воспользовавшись средствами операционной системы. Другим, более мощным средством, является утилита auditpol.exe комплекта инструментов W2RK. С ее помощью можно отключать (и включать) аудит как локального, так и удаленного компьютера. Для этого следует из командной строки ввести такую команду.

C:\Auditpol>auditpol \\sword-2000 /disable

На экране появятся результаты работы:

Параметр команды \\sword-2000 - это имя удаленного компьютера, а ключ /disable задает отключение аудита на этом компьютере. Утилита auditpol.exe - весьма эффективное средство, созданное для управления сетевыми ресурсами, но также, как видим, весьма удобный инструмент хакинга. Чтобы познакомиться с ее возможностями, достаточно ввести команду auditpol /? , после чего на экране отобразится справочная информация по применению утилиты. В частности, эта утилита позволяет включать/отключать аудит базы данных SAM, что является предпосылкой использования утилиты pwdump3.exe для извлечения паролей из базы SAM.

Очистку журналов безопасности можно выполнить либо с помощью утилиты просмотра журналов Windows 2000/XP, либо с помощью специальных утилит (как правило, используемых хакерами). В первом случае следует выполнить следующие действия.

Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка * Панель управления (Settings * Control Panel).

В отобразившейся панели управления откройте папку Администрирование (Administrative Tools).

Дважды щелкните на аплете Управление компьютером (Computer Management). На экране появится диалог консоли ММС.

Последовательно откройте папки Служебные программы * Просмотр событий (System Tools * Event Viewer).

Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню.

Выберите команду контекстного меню Стереть все события (Clear all Events). На экране появится диалог Просмотр событий (Event Viewer) с предложением сохранить журнальные события в файле.

Щелкните на кнопке Нет (No), если вам больше не требуются зафиксированные в журнале события. Журнал будет очищен.

При выполнении операции очистки журнала безопасности обратите на характерную особенность. При очистке журнала безопасности из него удаляются все события, но сразу устанавливается новое событие - только что выполненная очистка журнала аудита! Таким образом, хакер все же оставит свой след - пустой журнал с зафиксированным событием очистки журнала. Посмотрим, не помогут ли нам в таком случае хакерские утилиты.

Попробуем применить утилиту очистки журнала событий elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm ). Эта утилита предназначена в первую очередь для очистки журналов Windows NT 4, но ее последняя версия работает и с системой Windows 2000. Вот как она запускается из командной строки.

C:\els004>elsave -s \\sword-2000 -С

Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события журнала в файл. (Ввод команды elsave /? приводит к отображению справки, и вы можете сами испытать эффективность всех предлагаемых возможностей). Проверка показывает, что отмеченный выше недостаток остался - применение утилиты elsave.exe регистрируется в журнале безопасности как событие очистки журнала, подобно применению команды очистки журнала средствами аплета Управление компьютером (Computer Management).

Как защититься от всех этих утилит? Следует убрать из компьютера (или замаскировать) все утилиты комплекта W2RK, установить аудит базы данных SAM, системного реестра и всех важных ресурсов системы. После этого следует регулярно просматривать журнал безопасности. Выявление непонятных событий очистки журнала безопасности или доступа к защищенным ресурсам поможет навести на след хакера.

Заключение

Сетевой хакинг компьютеров - это очень распространенное занятие хакеров. Однако, как мы видим, занятие это весьма трудоемкое, и при желании выявить такого рода манипуляции достаточно просто. Для этого достаточно воспользоваться шаблонами безопасности Windows и загрузить шаблон защиты сервера. Другие меры пассивной обороны состоят в настройке системы защиты Windows, брандмауэров и систем IDS. В особых случаях антихакер может также прибегнуть к выявлению хакера его же методами, поскольку системы IDS, как правило, способны выявлять IP-адрес нарушителя (например, это делает программа BlacklCE Defender). Однако антихакеру следует учесть, что проникая в компьютер хакера, он сам уподобляется противнику, так что нелишней мерой будет использование прокси-серверов и других средств маскировки.

Способы проникновения вредоносных программ в систему

Необходимой для вирусописателей и кибер-преступников задачей является внедрение вируса, червя или троянской программы в компьютер-жертву или мобильный телефон. Достигается эта цель различными способами, которые делятся на две основные категории:

социальная инженерия (также употребляется термин «социальный инжиниринг» - калька с английского «social engineering»);

технические приёмы внедрения вредоносного кода в заражаемую систему без ведома пользователя.

Часто эти способы используются одновременно. При этом так же часто используются специальные меры по противодействию антивирусным программам.

Социальная инженерия

Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.

Задача хакеров и вирусописателей - привлечь внимание пользователя к заражённому файлу (или HTTP-ссылке на заражённый файл), заинтересовать пользователя, заставить его кликнуть по файлу (или по ссылке на файл). «Классикой жанра» является нашумевший в мае 2000 года почтовый червь LoveLetter, до сих пор сохраняющий лидерство по масштабу нанесённого финансового ущерба, согласно данным от Computer Economics. Сообщение, которое червь выводил на экран, выглядело следующим образом:

На признание «I LOVE YOU» среагировали очень многие, и в результате почтовые сервера больших компаний не выдержали нагрузки - червь рассылал свои копии по всем контактам из адресной книги при каждом открытии вложенного VBS-файла.

Почтовый червь Mydoom, «рванувший» в интернете в январе 2004 г., использовал тексты, имитирующие технические сообщения почтового сервера.

Стоит также упомянуть червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»).

Случаются и казусы, один из которых произошел в ноябре 2005. В одной из версий червя Sober сообщалось, что немецкая криминальная полиция расследует случаи посещения нелегальных веб-сайтов. Это письмо попало к любителю детской порнографии, который принял его за официальное письмо, - и послушно сдался властям.

В последнее время особую популярность приобрели не файлы, вложенные в письмо, а ссылки на файлы, расположенные на заражённом сайте. Потенциальной жертве отправляется сообщение - почтовое, через ICQ или другой пейджер, реже - через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.

Используются также возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:

AIM & AOL Password Hacker.exe

Microsoft CD Key Generator.exe

play station emulator crack.exe

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.

Необычный способ «разводки» использовал неизвестный злоумышленник из России в 2005-2006 годах. Троянская программа рассылалась на адреса, обнаруженные на веб-сайте job.ru, специализирующемся на трудоустройстве и поиске персонала. Некоторые из тех, кто публиковал там свои резюме, получали якобы предложение о работе с вложенным в письмо файлом, который предлагалось открыть и ознакомиться с его содержимым. Файл был, естественно, троянской программой. Интересно также то, что атака производилась в основном на корпоративные почтовые адреса. Расчёт, видимо, строился на том, что сотрудники компаний вряд ли будут сообщать об источнике заражения. Так оно и произошло - специалисты «Лаборатории Касперского» более полугода не могли получить внятной информации о методе проникновения троянской программы в компьютеры пользователей.

Бывают и довольно экзотические случаи, например, письмо с вложенным документом, в котором клиента банка просят подтвердить (вернее - сообщить) свои коды доступа - распечатать документ, заполнить прилагаемую форму и затем отправить её по факсу на указанный в письме телефонный номер.

Другой необычный случай доставки шпионской программы «на дом» произошел в Японии осенью 2005. Некие злоумышленники разослали заражённые троянским шпионом CD-диски на домашние адреса (город, улица, дом) клиентов одного из японских банков. При этом использовалась информация из заранее украденной клиентской базы этого самого банка.

Технологии внедрения

Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.

Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.

Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.

Также вредоносные программы активно использовали уязвимости в сетевых компонентах операционных систем. Для своего распространения такими уязвимостями пользовались черви CodeRed, Sasser, Slammer, Lovesan (Blaster) и многие другие черви, работающие под ОС Windows. Под удар попали и Linux-системы - черви Ramen и Slapper проникали на компьютеры через уязвимости в этой операционной среде и приложениях для неё.

В последние годы одним из наиболее популярных способов заражения стало внедрение вредоносного кода через веб-страницы. При этом часто используются уязвимости в интернет-браузерах. На веб-страницу помещается заражённый файл и скрипт-программа, которая использует уязвимость в браузере. При заходе пользователя на заражённую страницу срабатывает скрипт-программа, которая через уязвимость закачивает заражённый файл на компьютер и запускает его там на выполнение. В результате для заражения большого числа компьютеров достаточно заманить как можно большее число пользователей на такую веб-страницу. Это достигается различными способами, например, рассылкой спама с указанием адреса страницы, рассылкой аналогичных сообщений через интернет-пейджеры, иногда для этого используют даже поисковые машины. На заражённой странице размещается разнообразный текст, который рано или поздно обсчитывается поисковыми машинами - и ссылка на эту страницу оказывается в списке других страниц в результатах поиска.

Отдельным классом стоят троянские программы, которые предназначены для скачивания и запуска других троянских программ. Обычно эти троянцы, которые имеют очень небольшой размер, тем или иным образом (например, используя очередную уязвимость в системе) «подсовываются» на компьютер-жертву, а затем уже самостоятельно выкачивают из интернета и устанавливают в систему другие вредоносные компоненты. Часто такие троянские программы меняют настройки браузера на самые небезопасные, чтобы «облегчить дорогу» другим троянцам.

Уязвимости, о которых становятся известно, достаточно оперативно исправляются компаниями-разработчиками, однако постоянно появляется информация о новых уязвимостях, которые тут же начинают использоваться многочисленными хакерами и вирусописателями. Многие троянские «боты» используют новые уязвимости для увеличения своей численности, а новые ошибки в Microsoft Office тут же начинают применяться для внедрения в компьютеры очередных троянских программ. При этом, к сожалению, имеет место тенденция сокращения временного промежутка между появлением информации об очередной уязвимости и началом её использования червями и троянцами. В результате компании-производители уязвимого программного обеспечения и разработчики антивирусных программ оказываются в ситуации цейтнота. Первым необходимо максимально быстро исправить ошибку, протестировать результат (обычно называемый «заплаткой», «патчем») и разослать его пользователям, а вторым - немедленно выпустить средство детектирования и блокирования объектов (файлов, сетевых пакетов), использующих уязвимость.

Одновременное использование технологий внедрения и методов социальной инженерии

Достаточно часто компьютерными злоумышленниками используются сразу оба метода. Метод социальной инженерии - для привлечения внимания потенциальной жертвы, а технический - для увеличения вероятности проникновения заражённого объекта в систему.

Например, почтовый червь Mimail распространялся как вложение в электронное письмо. Для того чтобы пользователь обратил внимание на письмо, в него вставлялся специально оформленный текст, а для запуска копии червя из вложенного в письмо ZIP-архива - уязвимость в браузере Internet Explorer. В результате при открытии файла из архива червь создавал на диске свою копию и запускал её на исполнение без каких либо системных предупреждений или дополнительных действий пользователя. Кстати, этот червь был одним из первых, предназначенных для воровства персональной информации пользователей интернет-кошельков системы e-gold.

Другим примером является рассылка спама с темой «Привет» и текстом «Посмотри, что про тебя пишут». За текстом следовала ссылка на некую веб-страницу. При анализе выяснилось, что данная веб-страница содержит скрипт-программу, которая, пользуясь еще одной уязвимостью в Internet Explorer, загружает на компьютер пользователя троянскую программу LdPinch, предназначенную для воровства различных паролей.

Противодействие антивирусным программам

Поскольку цель компьютерных злоумышленников - внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.

Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Мутация кода. Разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется её «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени - при каждом скачивании троянской программы с заражённого веб-сайта. Т.е. все или значительная часть попадающих с такого сайта на компьютеры образцы троянца - разные. Примером применения этой технологии является почтовый червь Warezov, несколько версий которого вызвали значительные эпидемии во второй половине 2006 г.

Скрытие своего присутствия. Так называемые «руткит-технологии» (от англ. «rootkit»), обычно используемые в троянских программах. Осуществляется перехват и подмена системных функций, благодаря которым зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда также скрываются ветки реестра, в которых регистрируется копия троянца, и другие системные области компьютера. Данные технологии активно используются, например, троянцем-бэкдором HacDef.

Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ - ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами - следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.

Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков - содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом - если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.

Атака количеством. Генерация и распространение в интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что даёт злоумышленному коду дополнительный шанс для успешного внедрения в компьютеры.

Эти и другие методы используются компьютерным андеграундом для противодействия антивирусным программам. При этом активность киберпреступников растёт год за годом, и сейчас можно говорить о настоящей «гонке технологий», которая развернулась между антивирусной индустрией и индустрией вирусной. Одновременно растёт количество хакеров-индивидуалов и преступных групп, а также их профессионализм. Всё это вместе значительно увеличивает сложность и объём работы, необходимой антивирусным компаниям для разработки средств защиты достаточного уровня.

Электронная почта

Электронная почта остается одним из основных источников проникновения в корпоративную сеть вредоносных программ. Можно выделить несколько основных способов применения электронной почты в качестве средства переноса вредоносной программы:

рассылка вредоносных программ «в чистом виде» - в этом случае вредоносное ПО является вложением в письмо и его автоматический запуск не предусмотрен. Запуск вредоносной программы осуществляет сам пользователь, для чего нередко в письме применяются элементы социальной инженерии. Вложенный malware необязательно является исполняемым файлом - часто встречаются вредоносные скрипты, например Worm.Win32.Feebs, которые рассылаются по почте в виде HTA?файлов, содержащих зашифрованный скрипт, который загружает исполняемый файл из Интернета;

вредоносная программа с измененным расширением - этот метод отличается от предыдущего тем, что вложенный в письмо исполняемый файл имеет двойное расширение, например Document.doc .pif. В данном случае пробелы применяются для маскировки реального расширения файла и их количество может варьироваться от 10-15 до сотни. Более оригинальный метод маскировки состоит в применении расширения *.com - в результате вложенный файл может ошибочно рассматриваться пользователем как ссылка на сайт, например www.playboy.com пользователь, вероятнее всего, посчитает ссылкой на сайт, а не вложенным файлом с именем www.playboy и расширением *.com;

вредоносная программа в архиве - архивация является дополнительным уровнем защиты от антивирусных сканеров, причем архив может быть умышленно поврежден (но не настолько, чтобы из него нельзя было извлечь вредоносный файл) или зашифрован с паролем. В случае защиты архива паролем последний размещается в теле письма в виде текста или картинки - подобный прием, к примеру, применялся в почтовом черве Bagle. Запуск вредоносной программы в данном случае возможен исключительно по причине любопытства пользователя, которому для этого необходимо вручную ввести пароль и затем запустить извлеченный файл;

письмо в html-формате с эксплойтом для запуска вложенной вредоносной программы - в настоящее время такие почтовые вирусы встречаются редко, но в 2001-2003 годах они были широко распространены (типичные примеры - Email-Worm.Win32.Avron, Email-Worm.Win32.BadtransII, Net-Worm.Win32.Nimda);

Письма со ссылкой на вредоносный объект получили в последнее время широкое распространение, поэтому данный метод заслуживает более детального рассмотрения. Он основан на том, что в письме отсутствует вредоносный код, а следовательно, почтовый антивирус не может его детектировать и блокировать пересылку письма. Текст письма подготавливается по методам социальной инженерии и нацелен на то, чтобы убедить пользователя открыть находящуюся в теле письма ссылку. Типичные примеры - маскировка под поздравительную открытку (рис. 1).

Рис. 1. «Поздравительная открытка»

На рисунке показана весьма грубая подделка: хорошо видно, что письмо пришло с какого-то непонятного адреса, да и ссылка с IP-адресом вместо имени сайта не внушает доверия. Тем не менее, по статистике автора, на таких письмах «попадаются» тысячи пользователей. Более качественный вариант поддельного сообщения о поздравительной открытке показан на рис. 2.

Рис. 2. Более качественная поддельная открытка

В данном случае распознать фальшивку гораздо сложнее: визуально письмо действительно пришло от службы postcard.ru и ссылка на страницу-открытку ведет на этот сайт. В данном случае обман основан на том, что письмо имеет формат html и ссылка выполнена стандартным тэгом . Как известно, оформление ссылки при помощи этого тэга имеет вид:

текстовое описание

Текстовое описание может быть произвольным, так как оно никак не связано с открываемым URL. Поэтому в данном письме текстовое описание ссылки - www.postcard.ru/card.php?4295358104, а реальная ссылка указывает на совершенно иной ресурс. Данный прием элементарно реализуется и легко вводит пользователя в заблуждение.

ссылка ведет непосредственно на исполняемый файл вредоносной программы - это простейший случай. При открытии данной ссылки пользователь получит запрос о том, что делать с файлом по данной ссылке: сохранить или запустить. Выбор «запустить» приводит к запуску вредоносного кода и поражению ПК. Практика показывает, что пользователи обычно не задумываются об опасности. Наиболее свежим примером является вредоносная программа Virus.VBS.Agent.c, которая уничтожает файлы на диске (собственно, из-за этого она и причислена к категории Virus) и распространяет себя путем рассылки по электронной почте «поздравительных открыток» со ссылкой на свой исполняемый файл, размещенный непосредственно на сайте разработчика вируса. Большое количество пострадавших от данного вируса пользователей - наглядный пример эффективности этого метода;

ссылка на сайт, замаскированный под сайт легитимной программы. Типичный пример - программы для «взлома» сотовых провайдеров и почтовых ящиков, у которых зачастую имеется домашняя страничка, правдоподобная документация и инсталляционный пакет;

ссылка ведет на html-страницу с эксплойтом. Это распространенный вариант (во время написания статьи автор зафиксировал настоящую эпидемию подобных писем), и он опаснее прямой ссылки на исполняемый файл, так как подобную ссылку очень сложно обнаружить по протоколам прокси-сервера и заблокировать. В случае успешного выполнения эксплойт выполняет загрузку вредоносного кода, причем в результате на пораженный компьютер может быть установлено более десяти вредоносных программ. Обычный набор: почтовые черви, ворующая пароли троянская программе, набор троянских программ класса Trojan-Spy и Trojan-Proxy.

Меры защиты от распространяемых по электронной почте вредоносных программ достаточно очевидны. Как минимум, требуется установить антивирус на почтовом сервере (или при выборе хостера обратить внимание на предлагаемую им антивирусную защиту почты). Кроме того, стоит провести еще ряд мероприятий:

объяснить пользователям, чем опасно открытие вложенных в письма программ и находящихся в них ссылок. Очень полезно научить пользователей определять реальный URL ссылок;

при наличии технической возможности блокировать отправку и прием писем с вложенными исполняемыми файлами и зашифрованными архивами. В «Смоленскэнерго», к примеру, подобная блокировка действует уже длительное время и показала свою высокую эффективность (при этом блокируемые письма помещаются в карантин и могут быть извлечены администратором);

установить фильтры для блокировки писем по содержанию и поддерживать их в актуальном состоянии. Такие фильтры эффективны против писем, содержащих ссылки на вредоносные программы, - обычно их несложно отфильтровать по ключевым словам типа Animated card или postcard. Побочный эффект - блокировка реальных поздравительных открыток и аналогичных писем, компромиссное решение - установка такого фильтра в антиспам-системы и маркировка писем в качестве спама.

Интернет

По количеству расследованных инцидентов Интернет также является одним из основных источников проникновения вредоносных программ в сеть. Можно выделить несколько основных способов, широко используемых злоумышленниками:

всевозможные крэки и генераторы серийных номеров - статистика показывает, что в ходе поиска ключа или крэка на хакерских сайтах вероятность поражения компьютера вредоносными программами весьма велика. Причем такая программа может быть загружена в архиве с крэком или получена в ходе работы с сайтом в результате деятельности эксплойтов и вредоносных скриптов на хакерских сайтах. Контрмеры - блокировка доступа к хакерским сайтам на уровне прокси-сервера и запрет их посещения на уровне политики безопасности и иных руководящих документов фирмы;

взломанные легитимные сайты - согласно статистике, в последнее время взломы сайтов участились и ведутся по типовым схемам. В html-код страниц зараженного сайта внедряется небольшой код - обычно ведущий на страницу с эксплойтом тэг IFRAME или зашифрованный скрипт, тем или иным способом переадресующий пользователя на зараженный сайт (возможна динамическая вставка тэга IFRAME в тело страницы, перенаправление на страницу-эксплойт и т.п.). Главная опасность заключается в том, что взлом сайта невозможно предсказать и соответственно очень сложно защитить от него пользователя (рис. 3).

Рис. 3. Код эксплойта, добавленный к концу HTML-страницы

взломанного сайта

Как видно на рисунке, код эксплойта добавлен в конец html-страницы автоматическими средствами и представляет собой зашифрованный скрипт. Шифровка скрипта является мерой защиты от исследования, но основное ее назначение - защита от сигнатурного детектирования. В более сложных случаях хакерские вставки могут размещаться в коде страницы, что затрудняет их обнаружение.

Защита от эксплойтов в web-страницах сводится к оперативной установке обновлений операционной системы и браузера. Кроме того, неплохие результаты дает запуск браузера с минимально возможными привилегиями, что может существенно снизить ущерб в случае срабатывания эксплойта.

Флэш-носители

Носители такого вида в настоящее время очень широко применяются - это флэш-диски и флэш-карты, HDD-диски с USB-интерфейсом, сотовые телефоны, фотоаппараты, диктофоны. Распространение данных устройств приводит к увеличению количества вредоносных программ, использующих данные носители в качестве средства переноса. Можно выделить три базовых способа заражения флэш-диска:

создание в корне диска файла autorun.inf для запуска вредоносной программы и размещение ее в любом месте на диске (необязательно в корне диска). Работа autorun.inf на флэш-диске идентична работе подобного файла на CD-ROM, соответственно при подключении или открытии диска в проводнике производится запуск вредоносной программы;

создание в корне диска или в существующих на диске папках файлов, которые своими именами и иконками напоминают файлы или папки. Автором был проделан опыт: на флэш-дисках участвовавших в эксперименте пользователей был помещен безобидный исполняемый файл с иконкой, визуально неотличимой от иконки папки, и с именем MP3. Опыт показал, что пользователи немедленно проявили интерес к новой папке и решили посмотреть ее содержимое, осуществив двойной клик мышью на «папке», что привело к запуску исполняемого файла;

использование принципа «вирус-компаньон». По сути данный метод идентичен предыдущему, но в этом случае вредоносная программа создает множество своих копий, причем их имена совпадают с именами имеющихся на флэш-диске файлов или папок.

Методики защиты от распространения вредоносных программ на флэш-носителях довольно просты:

на компьютерах пользователей следует установить антивирусную защиту с монитором, проверяющим файлы в режиме реального времени;

эффективной мерой защиты является отключение автозапуска;

на стратегически важных ПК хорошей мерой безопасности является блокирование возможности использования флэш-носителей. Блокировка может осуществляться механически (отключением USB-портов и их опечатыванием) и логически при помощи специального ПО;

написание локальных политик безопасности, блокирующих запуск приложений с флэш-диска.

Ноутбуки и КПК

Мобильные компьютеры являются еще одним средством переноса для вредоносных программ. Типичная ситуация - использование ноутбука в командировке, когда он, как правило, подключается к чужой сети. В ходе работы может произойти заражение ноутбука, чаще всего сетевым червем. Когда зараженный ноутбук подключается к «родной» сети, возможно заражение находящихся в ней ПК. Защититься от этого сложно, комплекс мер по обеспечению безопасности можно свести к следующему:

установка на ноутбук антивируса и брандмауэра с обязательным периодическим контролем их работоспособности со стороны администратора;

проверка ноутбука перед его подключением к сети, правда данная операция не всегда возможна технически, требует больших временных затрат и снижает мобильность пользователя;

создание особой «гостевой» подсети для ноутбуков и принятие мер по защите основной ЛВС от данной подсети.

Защита корпоративной сети от вредоносных программ является сложной задачей ввиду того, что вредоносное ПО постоянно модифицируется и совершенствуется с целью обхода существующих систем защиты. В данной статье речь пойдет об основных путях проникновения вредоносного ПО (malware) в сеть и соответствующих методиках защиты. При рассмотрении методов защиты предполагается, что сеть защищена при помощи брандмауэра и доступ к компьютерам сети извне блокирован.

Электронная почта

Электронная почта остается одним из основных источников проникновения в корпоративную сеть вредоносных программ. Можно выделить несколько основных способов применения электронной почты в качестве средства переноса вредоносной программы:

• рассылка вредоносных программ «в чистом виде» - в этом случае вредоносное ПО является вложением в письмо и его автоматический запуск не предусмотрен. Запуск вредоносной программы осуществляет сам пользователь, для чего нередко в письме применяются элементы социальной инженерии. Вложенный malware необязательно является исполняемым файлом - часто встречаются вредоносные скрипты, например Worm.Win32.Feebs, которые рассылаются по почте в виде HTA?файлов, содержащих зашифрованный скрипт, который загружает исполняемый файл из Интернета;
• вредоносная программа с измененным расширением - этот метод отличается от предыдущего тем, что вложенный в письмо исполняемый файл имеет двойное расширение, например Document.doc .pif. В данном случае пробелы применяются для маскировки реального расширения файла и их количество может варьироваться от 10-15 до сотни. Более оригинальный метод маскировки состоит в применении расширения *.com - в результате вложенный файл может ошибочно рассматриваться пользователем как ссылка на сайт, например www.playboy.com пользователь, вероятнее всего, посчитает ссылкой на сайт, а не вложенным файлом с именем www.playboy и расширением *.com;
• вредоносная программа в архиве - архивация является дополнительным уровнем защиты от антивирусных сканеров, причем архив может быть умышленно поврежден (но не настолько, чтобы из него нельзя было извлечь вредоносный файл) или зашифрован с паролем. В случае защиты архива паролем последний размещается в теле письма в виде текста или картинки - подобный прием, к примеру, применялся в почтовом черве Bagle. Запуск вредоносной программы в данном случае возможен исключительно по причине любопытства пользователя, которому для этого необходимо вручную ввести пароль и затем запустить извлеченный файл;
• письмо в html-формате с эксплойтом для запуска вложенной вредоносной программы - в настоящее время такие почтовые вирусы встречаются редко, но в 2001-2003 годах они были широко распространены (типичные примеры - Email-Worm.Win32.Avron, Email-Worm.Win32.BadtransII, Net-Worm.Win32.Nimda);
• письмо со ссылкой на вредоносный объект.

Письма со ссылкой на вредоносный объект получили в последнее время широкое распространение, поэтому данный метод заслуживает более детального рассмотрения. Он основан на том, что в письме отсутствует вредоносный код, а следовательно, почтовый антивирус не может его детектировать и блокировать пересылку письма. Текст письма подготавливается по методам социальной инженерии и нацелен на то, чтобы убедить пользователя открыть находящуюся в теле письма ссылку. Типичные примеры - маскировка под поздравительную открытку (рис. 1).

Рис. 1. «Поздравительная открытка»

На рисунке показана весьма грубая подделка: хорошо видно, что письмо пришло с какого-то непонятного адреса, да и ссылка с IP-адресом вместо имени сайта не внушает доверия. Тем не менее, по статистике автора, на таких письмах «попадаются» тысячи пользователей. Более качественный вариант поддельного сообщения о поздравительной открытке показан на рис. 2.

Рис. 2. Более качественная поддельная открытка

В данном случае распознать фальшивку гораздо сложнее: визуально письмо действительно пришло от службы postcard.ru и ссылка на страницу-открытку ведет на этот сайт. В данном случае обман основан на том, что письмо имеет формат html и ссылка выполнена стандартным тэгом . Как известно, оформление ссылки при помощи этого тэга имеет вид:

текстовое описание

Текстовое описание может быть произвольным, так как оно никак не связано с открываемым URL. Поэтому в данном письме текстовое описание ссылки - www.postcard.ru/card.php?4295358104, а реальная ссылка указывает на совершенно иной ресурс. Данный прием элементарно реализуется и легко вводит пользователя в заблуждение.

• ссылка ведет непосредственно на исполняемый файл вредоносной программы - это простейший случай. При открытии данной ссылки пользователь получит запрос о том, что делать с файлом по данной ссылке: сохранить или запустить. Выбор «запустить» приводит к запуску вредоносного кода и поражению ПК. Практика показывает, что пользователи обычно не задумываются об опасности. Наиболее свежим примером является вредоносная программа Virus.VBS.Agent.c, которая уничтожает файлы на диске (собственно, из-за этого она и причислена к категории Virus) и распространяет себя путем рассылки по электронной почте «поздравительных открыток» со ссылкой на свой исполняемый файл, размещенный непосредственно на сайте разработчика вируса. Большое количество пострадавших от данного вируса пользователей - наглядный пример эффективности этого метода;
• ссылка на сайт, замаскированный под сайт легитимной программы. Типичный пример - программы для «взлома» сотовых провайдеров и почтовых ящиков, у которых зачастую имеется домашняя страничка, правдоподобная документация и инсталляционный пакет;
• ссылка ведет на html-страницу с эксплойтом. Это распространенный вариант (во время написания статьи автор зафиксировал настоящую эпидемию подобных писем), и он опаснее прямой ссылки на исполняемый файл, так как подобную ссылку очень сложно обнаружить по протоколам прокси-сервера и заблокировать. В случае успешного выполнения эксплойт выполняет загрузку вредоносного кода, причем в результате на пораженный компьютер может быть установлено более десяти вредоносных программ. Обычный набор: почтовые черви, ворующая пароли троянская программе, набор троянских программ класса Trojan-Spy и Trojan-Proxy.

Меры защиты от распространяемых по электронной почте вредоносных программ достаточно очевидны. Как минимум, требуется установить антивирус на почтовом сервере (или при выборе хостера обратить внимание на предлагаемую им антивирусную защиту почты). Кроме того, стоит провести еще ряд мероприятий:

• объяснить пользователям, чем опасно открытие вложенных в письма программ и находящихся в них ссылок. Очень полезно научить пользователей определять реальный URL ссылок;
• при наличии технической возможности блокировать отправку и прием писем с вложенными исполняемыми файлами и зашифрованными архивами. В «Смоленскэнерго», к примеру, подобная блокировка действует уже длительное время и показала свою высокую эффективность (при этом блокируемые письма помещаются в карантин и могут быть извлечены администратором);
• установить фильтры для блокировки писем по содержанию и поддерживать их в актуальном состоянии. Такие фильтры эффективны против писем, содержащих ссылки на вредоносные программы, - обычно их несложно отфильтровать по ключевым словам типа Animated card или postcard. Побочный эффект - блокировка реальных поздравительных открыток и аналогичных писем, компромиссное решение - установка такого фильтра в антиспам-системы и маркировка писем в качестве спама.

Интернет

По количеству расследованных инцидентов Интернет также является одним из основных источников проникновения вредоносных программ в сеть. Можно выделить несколько основных способов, широко используемых злоумышленниками:

• всевозможные крэки и генераторы серийных номеров - статистика показывает, что в ходе поиска ключа или крэка на хакерских сайтах вероятность поражения компьютера вредоносными программами весьма велика. Причем такая программа может быть загружена в архиве с крэком или получена в ходе работы с сайтом в результате деятельности эксплойтов и вредоносных скриптов на хакерских сайтах. Контрмеры - блокировка доступа к хакерским сайтам на уровне прокси-сервера и запрет их посещения на уровне политики безопасности и иных руководящих документов фирмы;
• взломанные легитимные сайты - согласно статистике, в последнее время взломы сайтов участились и ведутся по типовым схемам. В html-код страниц зараженного сайта внедряется небольшой код - обычно ведущий на страницу с эксплойтом тэг IFRAME или зашифрованный скрипт, тем или иным способом переадресующий пользователя на зараженный сайт (возможна динамическая вставка тэга IFRAME в тело страницы, перенаправление на страницу-эксплойт и т.п.). Главная опасность заключается в том, что взлом сайта невозможно предсказать и соответственно очень сложно защитить от него пользователя (рис. 3).

Рис. 3. Код эксплойта, добавленный к концу HTML-страницы
взломанного сайта

Как видно на рисунке, код эксплойта добавлен в конец html-страницы автоматическими средствами и представляет собой зашифрованный скрипт. Шифровка скрипта является мерой защиты от исследования, но основное ее назначение - защита от сигнатурного детектирования. В более сложных случаях хакерские вставки могут размещаться в коде страницы, что затрудняет их обнаружение.

Защита от эксплойтов в web-страницах сводится к оперативной установке обновлений операционной системы и браузера. Кроме того, неплохие результаты дает запуск браузера с минимально возможными привилегиями, что может существенно снизить ущерб в случае срабатывания эксплойта.

Флэш-носители

Носители такого вида в настоящее время очень широко применяются - это флэш-диски и флэш-карты, HDD-диски с USB-интерфейсом, сотовые телефоны, фотоаппараты, диктофоны. Распространение данных устройств приводит к увеличению количества вредоносных программ, использующих данные носители в качестве средства переноса. Можно выделить три базовых способа заражения флэш-диска:

• создание в корне диска файла autorun.inf для запуска вредоносной программы и размещение ее в любом месте на диске (необязательно в корне диска). Работа autorun.inf на флэш-диске идентична работе подобного файла на CD-ROM, соответственно при подключении или открытии диска в проводнике производится запуск вредоносной программы;
• создание в корне диска или в существующих на диске папках файлов, которые своими именами и иконками напоминают файлы или папки. Автором был проделан опыт: на флэш-дисках участвовавших в эксперименте пользователей был помещен безобидный исполняемый файл с иконкой, визуально неотличимой от иконки папки, и с именем MP3. Опыт показал, что пользователи немедленно проявили интерес к новой папке и решили посмотреть ее содержимое, осуществив двойной клик мышью на «папке», что привело к запуску исполняемого файла;
• использование принципа «вирус-компаньон». По сути данный метод идентичен предыдущему, но в этом случае вредоносная программа создает множество своих копий, причем их имена совпадают с именами имеющихся на флэш-диске файлов или папок.

Методики защиты от распространения вредоносных программ на флэш-носителях довольно просты:

• на компьютерах пользователей следует установить антивирусную защиту с монитором, проверяющим файлы в режиме реального времени;
• эффективной мерой защиты является отключение автозапуска;
• на стратегически важных ПК хорошей мерой безопасности является блокирование возможности использования флэш-носителей. Блокировка может осуществляться механически (отключением USB-портов и их опечатыванием) и логически при помощи специального ПО;
• написание локальных политик безопасности, блокирующих запуск приложений с флэш-диска.

Ноутбуки и КПК

Мобильные компьютеры являются еще одним средством переноса для вредоносных программ. Типичная ситуация - использование ноутбука в командировке, когда он, как правило, подключается к чужой сети. В ходе работы может произойти заражение ноутбука, чаще всего сетевым червем. Когда зараженный ноутбук подключается к «родной» сети, возможно заражение находящихся в ней ПК. Защититься от этого сложно, комплекс мер по обеспечению безопасности можно свести к следующему:

• установка на ноутбук антивируса и брандмауэра с обязательным периодическим контролем их работоспособности со стороны администратора;
• проверка ноутбука перед его подключением к сети, правда данная операция не всегда возможна технически, требует больших временны х затрат и снижает мобильность пользователя;
• создание особой «гостевой» подсети для ноутбуков и принятие мер по защите основной ЛВС от данной подсети.

Выводы

В данной статье мы рассмотрели наиболее распространенные способы проникновения вредоносных программ в сеть. Из всего вышеизложенного можно сделать два важных вывода:

• большинство описанных методик так или иначе связано с человеческим фактором, следовательно, обучение персонала и периодическое проведение занятий по безопасности повысят защищенность сети;
• участившиеся в последнее время случаи взлома легитимных сайтов приводят к тому, что даже грамотный пользователь может заразить свой компьютер. Следовательно, на первое место выходят классические меры защиты - антивирусное ПО, своевременная установка обновлений, применение средств мониторинга интернет-трафика.

Изобретение относится к технике связи и может использоваться в системах технологической связи. Технический результат состоит в повышении надежности связи. Для этого устройство включает интерфейс (114) технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер (106) соединяется с интерфейсом (114) технологической связи. Хранилище (116) правил соединяется с контроллером (106) и имеет по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер (106) применяет по меньшей мере одно правило передачи пакетов технологической связи по меньшей мере к одному пакету технологической связи, принятому от интерфейса (114) технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи. 4 н. и 12 з.п. ф-лы, 6 ил.

Уровень техники

Современные технологические установки используются, чтобы предоставлять и/или производить множество продуктов и материалов, используемых каждый день. Примеры таких технологических установок включают в себя установки для переработки нефти, установки для фармацевтического производства, установки для химической обработки, целлюлозные и другие технологические установки. В таких установках сеть для управления и измерения показателей процесса может включать в себя тысячи или даже десятки тысяч различных полевых устройств, связывающихся с диспетчерским пультом, а иногда друг с другом, чтобы управлять процессом. Допуская, что неисправности в данном полевом устройстве могут вывести процесс из-под управления, физические характеристики и электрическая связь полевых устройств, как правило, подчиняются строгим спецификациям.

Традиционно, полевые устройства в данной технологической установке, как правило, имели возможность связываться через контур или сегмент управления процессом с диспетчерским пультом и/или другими полевыми устройствами через проводные соединения. Например, протокол проводной связи процесса известен как протокол взаимодействия с удаленным датчиком с шинной адресацией (HART ®). HART ® -связь является одним из основных протоколов связи, используемых в технологических процессах. В последнее время стало возможным, и потенциально желательным в некоторых случаях, разрешать доступ технологических установок к Интернету. Хотя такой признак обеспечивает возможность взаимодействия с технологической установкой практически с любого подключенного компьютера в любой точке земного шара, он также предоставляет потенциал для злоумышленника, такого как хакер, чтобы пытаться воздействовать на технологическую установку без перемещения к физическому местоположению технологической установки.

Другое недавнее усовершенствование относительно технологических установок заключается в использовании беспроводной связи. Такая беспроводная связь упрощает конструкции технологических установок в том аспекте, что больше не требуется обеспечивать прокладку длинных проводов к различным полевым устройствам. Кроме того, один такой беспроводной протокол, WirelessHART (IEC 62591), расширяет традиционный протокол HART ® и обеспечивает значительно возросшие скорости передачи данных. Например, WirelessHART поддерживает передачу данных вплоть до 250 Кбит/с. Соответствующие части спецификации Wireless HART® включают в себя: HCF_Spec 13, версия 7.0; спецификацию HART 65 - спецификацию беспроводного физического уровня; спецификацию HART 75 - спецификацию канального уровня TDMA (TDMA относится к множественному доступу с временным разделением каналов); спецификацию HART 85 - спецификацию управления сетью; спецификацию HART 155 - спецификацию беспроводных команд; и спецификацию HART 290 - спецификацию беспроводных устройств. Хотя беспроводная связь предоставляет множество преимуществ для технологических установок, она также предоставляет возможность потенциального подключения к устройствам при физическом приближении к технологической установке и возможность воздействия на сеть беспроводной связи.

Допуская современную связность технологических установок, теперь жизненно важно, чтобы технологическая связь была защищена от проникновения и действий злоумышленников. Это применимо к технологическим установкам, которые могут быть подключены к Интернету, технологическим установкам, которые применяют беспроводную технологическую связь, или и к тем, и к другим. Соответственно, обеспечение технологической установки возможностью обнаруживать и предотвращать проникновение в контур технологической связи дополнительно поможет обезопасить различные технологические установки, которые строятся на такой технологической связи.

Сущность изобретения

Устройство технологической связи включает в себя интерфейс технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер соединяется с интерфейсом технологической связи. Хранилище правил соединяется с контроллером и имеет, по меньшей мере, одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер применяет, по меньшей мере, одно правило передачи пакетов технологической связи, по меньшей мере, к одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет, по меньшей мере, одному правилу передачи пакетов технологической связи.

Краткое описание чертежей

Фиг. 1 - схематичный вид системы технологической связи в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 2 - схематичный вид системы технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы.

Фиг. 3 - схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны.

Фиг. 4 - схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 5 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 6 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с другим вариантом осуществления настоящего изобретения.

Подробное описание иллюстративных вариантов осуществления

Варианты осуществления настоящего изобретения, в целом, максимально используют специфическое знание протокола HART ® (как проводного, так и беспроводного) и/или описаний устройств (DD) HART ® , чтобы наблюдать на предмет аномалий за сетевым трафиком технологической связи, приходящим в контур технологической связи, покидающим контур технологической связи или даже пересекающим контур технологической связи. В то время как варианты осуществления настоящего изобретения, в целом, описываются относительно контуров технологической связи HART ® , варианты осуществления настоящего изобретения могут быть применены на практике с любыми подходящими протоколами технологической связи, которые поддерживают описания устройств.

Протокол HART ® имеет гибридный физический уровень, состоящий из цифровых сигналов связи, наложенных на стандартный 4-20 мА аналоговый сигнал. Скорость передачи данных равна приблизительно 1,2 Кбит/с. HART ® -связь является одним из основных протоколов связи в индустрии технологических процессов. И беспроводные, и проводные способы HART ® -связи совместно используют, по существу, аналогичный уровень приложений. Кроме того, содержимое команд как беспроводной, так и проводной HART ® -связи является идентичным. Соответственно, в то время как физические уровни могут отличаться, на уровне приложений эти два протокола технологической связи очень похожи.

Безопасность сети технологической связи по и через HART ® -сети является важной, и становится более важной, поскольку трафик HART ® -сети может теперь передаваться через TCP/IP-сети, а также через беспроводные сети. Некоторая безопасность сети была обеспечена посредством устройств, таких как устройства, продаваемые под торговым обозначением Model 1420 Wireless Gateway от компании Emerson Process Management, из Шанхассена, штат Миннесота. Это устройство предоставляет возможность аутентифицировать отправителя и получателя, подтверждать, что данные действительны, шифровать данные технологической связи и управлять периодическими изменениями ключей шифрования автоматически. В то время как безопасность технологической связи, обеспечиваемая посредством Model 1420, неоценима в современных сетях технологической связи, варианты осуществления настоящего изобретения, в целом, строятся на безопасности, обеспечиваемой посредством 1420 Wireless Gateway, посредством привлечения дополнительных знаний о самом протоколе HART ® , описаний устройств (DD) HART ® или их комбинации. Хотя варианты осуществления настоящего изобретения применимы к любому устройству, которое имеет доступ к технологической связи, предпочтительно, чтобы варианты осуществления настоящего изобретения были осуществлены либо в устройстве брандмауэра, шлюзе, таком как улучшенный беспроводной шлюз, либо в устройстве типа точки доступа.

Фиг. 1 - это схематичный вид системы 10 технологической связи в соответствии с вариантом осуществления настоящего изобретения. Система 10 включает в себя рабочую станцию 12 и сервер 14, соединенные с возможностью связи друг с другом через локальную вычислительную сеть 16 предприятия. Сеть 16 соединяется с Интернетом 18 через брандмауэр 20 локальной вычислительной сети. Брандмауэр 20 локальной вычислительной сети - это хорошо известное устройство, предоставляющее только выбранный TCP/IP-трафик через него. В варианте осуществления, иллюстрированном на фиг. 1, устройство 22 защиты технологической связи соединяется с LAN 16 предприятия посредством соединения 24 и дополнительно соединяется с устройствами 1-n через порт 26. Устройство 22 защиты технологической связи защищает сегменты/контуры технологической связи от злонамеренной деятельности, происходящей через Интернет 18 и/или LAN 16 предприятия. Процессор в устройстве 22 защиты технологической связи выполняет инструкции программного обеспечения, которые способны принимать один или более пакетов технологической связи и тестировать, удовлетворяет ли пакет(ы) одному или более правилам, которые основываются, в частности, на HART ® -правилах технологической связи, требованиях к описанию устройства или их комбинации.

Фиг. 2 - это схематичный вид системы 50 технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы. Множество рабочих станций 52, 54 и 56 соединяются вместе через LAN 16 предприятия. Дополнительно, шлюз 58 беспроводной технологической связи также соединяется с LAN 16 через соединение 60. Структура, показанная на фиг. 2, является текущим окружением, в котором работает Model 1420 Smart Wireless Gateway. Шлюз 58 связывается с одним или более полевыми устройствами 62 через WirelessHART ® -связь. Соответственно, варианты осуществления настоящего изобретения могут быть применены на практике с помощью процессора или другого подходящего контроллера, расположенного в шлюзе 58.

Фиг. 3 - это схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны. В частности, один или более шлюзов (1-n) 70, 72 соединяются с возможностью связи через устройство 74. Каждый шлюз может связываться с одной или более точками доступа. В соответствии с вариантом осуществления настоящего изобретения одна из точек 76 доступа конфигурируется, посредством аппаратных средств, программного обеспечения или их комбинации, чтобы принимать пакеты технологической связи и изучать пакеты технологической связи, чтобы определять, соответствует ли связь одному или более правилам, которые основываются на HART ® -протоколе, описаниях устройств или их комбинации. Точка 76 доступа прослушивает данные в беспроводной сети и изучает пакеты, когда они поступают. В результате проверок некоторые аспекты трафика связи могут отслеживаться (адрес источника, интенсивность входящего потока, известное устройство, новое устройство, запросы объединения и прочие), и статистические данные и/или предупреждения могут предоставляться шлюзу при обнаружении событий. Варианты осуществления настоящего изобретения также включают в себя использование множества шлюзов и соответствующих точек доступа, чтобы предоставлять дублирующую пару.

Фиг. 4 - это схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения. Устройство 100 защиты включает в себя сетевой интерфейс 102, соединяемый с сетью передачи данных, такой как Ethernet-сеть передачи данных. Порт 102 соединяется с физическим уровнем 104 сетевого интерфейса, чтобы формировать и принимать пакеты передачи данных в соответствии с известными способами. Физический уровень 104 сетевого интерфейса соединяется с контроллером 106, который предпочтительно является микропроцессором, который включает в себя, или соединяется с подходящей памятью, такой как оперативное запоминающее устройство, постоянное запоминающее устройство, флэш-память и т.д., чтобы хранить и выполнять инструкции программы. Устройство 100 защиты также предпочтительно включает в себя порт 108 проводной технологической связи и/или порт 110 беспроводной технологической связи, соединенный с антенной 112. В вариантах осуществления, где устройство 100 защиты осуществляется в беспроводной точке доступа, порт проводной технологической связи не требуется. Каждый из портов 108, 110 может быть соединен с HART ® -интерфейсом 114 технологической связи. Интерфейс 114 предоставляет возможность контроллеру 106 связываться с внешними устройствами, такими как полевые устройства, с помощью известного HART ® -протокола. В некоторых вариантах осуществления HART ® -связь может быть обеспечена через IP-сеть, таким образом, физический уровень 104 сетевого интерфейса может также быть источником HART ® -пакетов.

В соответствии с вариантом осуществления настоящего изобретения устройство 100 защиты включает в себя хранилище 116 правил. В необязательном порядке, устройство 100 защиты может включать в себя хранилище 118 описаний устройств. Хранилище 116 правил включает в себя энергонезависимую память, которая хранит одно или более правил, которые могут исполняться во время технологической HART ® -связи, основанной на лежащем в основе понимании HART ® -протокола. Хранилище 116 правил предоставляет возможность контроллеру 106 определять, являются ли конструкция и/или содержимое пакетов в HART ® -сети допустимыми. Дополнительно, может быть определена допустимость источника и получателя пакетов. Наконец, содержимое самого пакета может быть проанализировано, чтобы определять, является ли оно правильным. Например, искаженный пакет может иметь плохой результат проверки циклическим избыточным кодом, число байтов, размер полезной нагрузки и т.д. Если пакет является недопустимым, устройство 100 защиты не будет пересылать пакет запрошенному получателю. Дополнительно, и/или альтернативно, устройство 100 защиты может сохранять данные о событии, относящиеся к обнаружению искаженного пакета, и/или отправлять соответствующее сообщение ответственной стороне. Кроме того, контроллер 106 может отслеживать и/или анализировать данные о событии, так что, если множество искаженных пакетов обнаруживаются от одного источника в конкретном периоде времени, контроллер 106 может определять, что в настоящее время выполняется активная атака. Если это происходит, контроллер 106 может уведомлять пользователя и/или ответственную сторону, что может выполняться атака, вместе с деталями подозреваемого источника атаки. Более того, контроллер 106 может действовать, чтобы отбрасывать все пакеты от этого источника до тех пор, пока не вмешается пользователь.

Как иллюстрировано на фиг. 4, устройство 100 защиты может также включать в себя хранилище 118 описаний устройств. С текущим состоянием уровня технологий памяти экономически осуществимо, чтобы хранилище 118 было достаточно большим, чтобы содержать описания устройств для всех известных полевых устройств, которые связываются в соответствии с HART ® -протоколом, на дату производства устройства 100 защиты. Кроме того, когда производятся новые устройства HART ® -связи, хранилище 118 описаний устройств может обновляться динамически посредством порта 102 связи сети передачи данных. Поддержание хранилища 118 исчерпывающих описаний устройств предоставляет возможность выполнения дополнительных проверок и/или тестов над пакетами технологической связи. Например, если данный пакет технологической связи является пакетом от полевого устройства, которое, согласно своему описанию устройства, известно только как обеспечивающее измерение температуры, пакет, указывающий давление процесса, от такого полевого устройства будет считаться искаженным, даже если пакет иначе согласуется со всеми правилами, изложенными в хранилище 116 правил.

Существует множество различных типов команд, которые используются в HART ® -протоколе. Эти типы команд включают в себя универсальные команды, общие команды, беспроводные команды, команды семейства устройств и зависящие от конкретного устройства команды. За исключением зависящих от конкретного устройства команд, по меньшей мере, некоторое знание команд в каждом типе может быть известно на основе самой спецификации HART ® . Кроме того, даже зависящие от конкретного устройства команды могут быть тщательно проверены, если устройство защиты технологической связи содержит описание устройства относительно отдельного конкретного полевого устройства.

Одним примером правила, которое может быть применено на уровне приложений пакета HART ® -протокола, является следующее. Поскольку, для данной версии HART ® , число байтов относительно всех до единой команд известно, если пакет указывает команду, известное число байт может применяться для пакета. Даже для зависящих от конкретного устройства команд могут быть предусмотрены некоторые правила. В частности, диапазон команд может быть протестирован, чтобы определять, находится ли он в допустимом диапазоне (таком как 128-240 и 64768-65021). Дополнительно, итоговое число байтов пакета может быть определено и сравнено с содержимым поля числа байтов, чтобы проверять на предмет допустимого соответствия.

Одним из значимых преимуществ осуществления функциональности устройства защиты технологической связи в шлюзе, таком как Model 1420, является то, что шлюз знает обо всех индивидуальных полевых устройствах в сети. Кроме того, шлюз имеет дополнительное преимущество в том, что он имеет доступ ко всей информации, требуемой (особенно ключам дешифрования), чтобы дешифровать и проверять все HART ® -пакеты. Дополнительно, устройство защиты, предпочтительно осуществленное в шлюзе, может создавать базу данных или список известных получателей/беспроводных устройств и гарантировать, что сообщения только для таких устройств отправляются/пересылаются. Более того, устройство защиты может проверять и/или предоставлять возможность пересылки пакетов только от известных/сконфигурированных источников. Наконец, как изложено выше, сама конструкция пакета может быть проверена, чтобы определять, является ли содержимое заголовка правильным, соответствует ли число байтов фактическому размеру пакета, допустима ли CRC-контрольная сумма, и допустим ли адрес получателя. В дополнение к этим мерам безопасности, процессор контроллера устройства защиты может реагировать на динамические изменения связи. В частности, известные нейронно-сетевые алгоритмы и/или алгоритмы искусственного интеллекта могут применяться, чтобы предоставлять возможность контроллеру 106 фактически изучать трафик сети технологической связи. Дополнительно, или альтернативно, может поддерживаться набор статистических данных относительно сетевой передачи данных и/или различных получателей и источников. Если обнаруживаются изменения относительно изученной нормальной связи и/или статистически сохраненных параметров, предупреждение может передаваться ответственной стороне посредством либо порта 102 сети передачи данных, либо порта 108, 110 технологической связи. Дополнительно, подозрительные модели поведения связи могут быть специально идентифицированы на основе правил. Например, если контроллер 106 наблюдает за множеством запросов адресов получателей, где ID устройство просто увеличивается или уменьшается с каждым запросом, модель поведения будет выглядеть как приложение, отыскивающее устройство. Такой поиск может рассматриваться как злонамеренный. Дополнительно, запросы адреса устройства, которые циклически увеличивают или уменьшают расширенный тип устройства, могут также означать приложение, отыскивающее попадание. Это также будет считаться признаком злого умысла. Более того, запросы адреса получателя, которые включают в себя просто увеличивающиеся или уменьшающиеся поля сообщения, такие как команда, число байтов, поля данных, могут указывать приложение, которое пытается найти доступное устройство, и/или разрывать сеть технологической связи. Обнаружение такой модели поведения может считаться признаком злого умысла.

В случае, когда признак злого умысла обнаруживается, он предпочтительно регистрируется локально в устройстве защиты. Дополнительно, устройство защиты может включать в себя простой протокол управления сетью или вариант системного журнала, чтобы сообщать событие и/или дополнительную информацию о состоянии ответственной стороне или приложению информационной технологии. Системный журнал - это хорошо известный механизм регистрации, используемый приложениями серверного типа, чтобы регистрировать события/предупреждения на внешнем сервере или в базе данных для дальнейшего анализа.

Фиг. 5 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 200 начинается на этапе 202, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет. На этапе 204, способ 200 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на априорном знании HART-протокола. Как изложено выше, одним примерным правилом является правило для данной HART-команды, число байтов пакета должно соответствовать числу, изложенному в HART-спецификации. На этапе 206 способ 200 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 204. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 208, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 210, где событие безопасности предпочтительно регистрируется или событие формируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

Фиг. 6 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 300 начинается на этапе 302, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет, когда требуется. На этапе 304, способ 300 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на описании устройства (DD) протокола технологической связи (такого как HART или FOUNDATION Fieldbus). Как изложено выше, одним примерным правилом, которое основывается на описании устройства, может быть технологическая величина датчика температуры, предоставляющего значение давления технологической жидкости. На этапе 306 способ 300 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 304. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 308, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 310, где событие безопасности предпочтительно регистрируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

Способы 200 и 300 не являются взаимоисключающими. Вместо этого, положительный результат одного способа может быть предоставлен как входные данные для другого способа, чтобы обеспечивать обнаружение и предотвращение проникновения в технологическую установку на основе как подробного знания пакетов технологической связи, так и описаний устройств.

Хотя настоящее изобретение описано со ссылками на предпочтительные варианты осуществления, специалисты в данной области техники должны понимать, что изменения могут быть сделаны в форме и деталях без отступления от существа и объема изобретения.

1. Устройство технологической связи, содержащее:


хранилище правил, соединенное с контроллером, причем в хранилище правил имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи;
хранилище описаний устройств, соединенное с контроллером, при этом в хранилище описаний устройств имеется по меньшей мере одно описание устройства, относящееся к технологической величине, измеряемой по меньшей мере одним полевым устройством, причем это по меньшей мере одно полевое устройство описывается данным по меньшей мере одним описанием устройства, хранящимся в хранилище описаний устройств,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи и по меньшей мере одно описание устройства к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи или когда по меньшей мере один пакет технологической связи не в соответствии с по меньшей мере одним описанием устройства для по меньшей мере одного полевого устройства; и

2. Устройство технологической связи по п. 1, при этом протоколом технологической связи является HART-протокол (протокол взаимодействия с удаленным датчиком с шинной адресацией).

3. Устройство технологической связи по п. 1, при этом протокол накладывает цифровой сигнал на 4-20 мА аналоговый токовый сигнал.

4. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является проводным интерфейсом технологической связи.

5. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является беспроводным интерфейсом технологической связи.

6. Устройство технологической связи по п. 5, в котором интерфейс технологической связи также является проводным интерфейсом технологической связи.

7. Устройство технологической связи по п. 1, в котором контроллер сконфигурирован дешифровать по меньшей мере один пакет технологической связи перед применением по меньшей мере одного правила передачи пакетов технологической связи.

8. Устройство технологической связи по п. 7, при этом устройство технологической связи осуществлено в шлюзе технологической связи.

9. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи относит допустимое число байтов пакета к команде протокола технологической связи, содержащейся в пакете.

10. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи включает в себя допустимый диапазон команд.

11. Устройство технологической связи по п. 1, при этом устройство технологической связи осуществлено в точке доступа.

12. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи, посланный из полевого устройства, в соответствии с протоколом технологической связи;
применяют по меньшей мере одно правило по отношению к этому пакету технологической связи, причем данное по меньшей мере одно правило основывается на протоколе технологической связи;
применяют по меньшей мере второе правило по отношению к этому пакету технологической связи, причем данное по меньшей мере второе правило основывается на описании устройства для полевого устройства, относящемся к технологической величине, измеряемой полевым устройством;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила.

13. Способ по п. 12, дополнительно содержащий этап, на котором регистрируют событие.

14. Устройство технологической связи, содержащее:
интерфейс технологической связи, выполненный с возможностью осуществления связи с по меньшей мере одним полевым устройством по контуру технологической связи в соответствии с протоколом технологической связи;
контроллер, соединенный с интерфейсом технологической связи;
хранилище описаний устройств, соединенное с контроллером, причем в хранилище описаний устройств имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основано на описании устройства, относящемся к технологической величине, измеряемой по меньшей мере одним полевым устройством, для этого по меньшей мере одного полевого устройства,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи; и
сетевой интерфейс, соединенный с контроллером, при этом контроллер сконфигурирован пересылать пакет технологической связи через сетевой интерфейс, если пакет технологической связи удовлетворяет всем правилам передачи пакетов технологической связи.

15. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи в соответствии с протоколом технологической связи, причем этим по меньшей мере одним пакетом технологической связи переносится информация в по меньшей мере одно полевое устройство или из него;
извлекают описание устройства из хранилища описаний устройств в устройстве защиты технологической связи, которое описывает по меньшей мере одно полевое устройство и относится к технологической величине, измеряемой этим по меньшей мере одним полевым устройством;
применяют по меньшей мере одно правило по отношению к данному пакету технологической связи, причем это по меньшей мере одно правило основано на извлеченном описании устройства;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила.

16. Способ по п. 15, дополнительно содержащий этап, на котором регистрируют событие.

Похожие патенты:

Изобретение относится к способу и устройству для транспортировки сегментов инициализации динамической адаптивной потоковой передачи по HTTP (DASH) в качестве фрагментов описания пользовательских услуг.

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в совместимости стандарта цифровой улучшенной беспроводной связи (DECT) с VoIP-сетью с возможностью плавной передачи обслуживания сеансов между базовыми станциями.

Изобретение предназначено для кормления и поения домашних животных, в частности кошек и собак. В корпусе кормушки установлены по меньшей мере одно устройство подачи еды в лоток, по меньшей мере одна видеокамера, микрофон, монитор или средство для подключения планшетного компьютера или смартфона, по меньшей мере один динамик, модуль связи, блок питания и средство управления.

Изобретение относится к области связи. Техническим результатом является возможность осуществлять сквозную дифференцированную обработку потоков, обеспечить дифференцированное впечатление от услуги для разных уровней пользователей и разных типов услуг и эффективно повысить коэффициент использования радиоресурсов.

Изобретение относится к способу и сетевому объекту для регистрации объекта пользователя в сети связи. Технический результат заключается в обеспечении регистрации объекта пользователя в сети связи через другую сеть связи. Способ регистрации объекта пользователя в первой сети связи, где объект пользователя и объект доступа, обеспечивающий доступ к первой сети связи, регистрируются во второй сети связи, включает: передачу по меньшей мере одного сообщения регистрации для регистрации указанного объекта пользователя в первой сети связи между объектом пользователя и объектом доступа по второй сети связи, при этом сообщение регистрации содержит запрос, передаваемый от объекта пользователя объекту доступа по второй сети связи, и запрос запрашивает по меньшей мере один ключ доступа к первой сети связи; и передачу ответа на переданный запрос от объекта доступа объекту пользователя по второй сети связи, если переданный запрос отвечает конфигурируемому правилу авторизации, при этом указанный ответ включает по меньшей мере один запрашиваемый ключ доступа к первой сети связи. 2 н. и 10 з.п. ф-лы, 4 ил.

Изобретение относится к способам мультимодального телефонного вызова. Технический результат заключается в обеспечении возможности обмениваться как голосовыми сообщениями, так и данными в контексте телефонного вызова. Способ, реализованный на первом вычислительном устройстве для установления мультимодального телефонного вызова, содержит этапы, на которых: принимают телефонный вызов от второго вычислительного устройства; отправляют ответ второму вычислительному устройству о том, что сеанс телефонной связи установлен между первым вычислительным устройством и вторым вычислительным устройством; отправляют сообщение-запрос для регистрации первого вычислительного устройства для сеанса обмена данными в онлайн-службе регистрации, причем сообщение-запрос включает в себя телефонный номер, ассоциированный с первым вычислительным устройством, и телефонный номер, ассоциированный со вторым вычислительным устройством; принимают ответное сообщение, указывающее, что первое вычислительное устройство зарегистрировано в онлайн-службе регистрации, причем ответное сообщение включает в себя ключ, который уникально идентифицирует сеанс обмена данными, и используют ключ, чтобы установить сеанс обмена данными со вторым вычислительным устройством. 3 н. и 7 з.п. ф-лы, 10 ил.

Изобретение относится к средствам для быстрого распределения данных. Технический результат заключается в уменьшении загрузки центрального процессора и запоминающего устройства во время передачи данных между хранилищем и контроллером сетевого интерфейса. Отправляют, посредством центрального процессора, информацию описания данных в модуль быстрого перенаправления, при этом информация описания данных содержит информацию адреса и длины данных, запрошенных пользователем. Считывают, посредством модуля быстрого перенаправления согласно информации описания данных, данные, запрошенные пользователем, из хранилища и перенаправляют данные, запрошенные пользователем, в контроллер сетевого интерфейса. Отправляют, посредством контроллера сетевого интерфейса, данные, запрошенные пользователем, пользователю. При этом центральный процессор, хранилище и контроллер сетевого интерфейса взаимосвязаны с помощью PCI-коммутатора и модуль быстрого перенаправления представляет собой функциональный модуль, который встроен в PCI-коммутатор и обеспечивает функции прямой отправки и приема. 4 н. и 12 з.п. ф-лы, 12 ил.

Изобретение относится к мобильной связи через коммуникационные сети, в частности к серверу приложений для управления связью с группой пользовательских объектов. Техническим результатом изобретения является в обеспечении эффективного управления связью с группой пользовательских объектов. Сервер приложений содержит приемник (201) для приема первого запроса (202) инициации сеанса с общедоступным идентификатором, идентифицирующим группу пользовательских объектов, процессор (203), сконфигурированный для определения текущего состояния связи первого пользовательского объекта при приеме первого запроса инициации сеанса, и передатчик (205, сконфигурированный для передачи второго запроса (204) инициации сеанса с первым идентификатором пользователя для установления канала связи с первым пользовательским объектом в зависимости от его текущего состояния связи. 3 н. и 11 з.п. ф-лы, 7 ил.

Изобретение относится к устройствам обработки и распределения мультимедийных данных, а также определения идентификационной информации мультимедийных данных. Технический результат состоит в увеличении эффективности записи мультимедийных данных и достигается за счет того, что мультимедийные данные, которые должны записываться, снабжают при отправке в устройство записи идентификационной информацией мультимедийных данных. При этом устройство записи идентифицирует мультимедийные данные при помощи соответствующей идентификационной информации мультимедийных данных. Отправляют посредством устройства распределения инструкцию записи в устройство записи без отправки мультимедийных данных, при этом устройство записи идентифицирует мультимедийные данные по соответствующей идентифицирующей информации мультимедийных данных, осуществляет доступ по идентификационной информации к устройству хранения этих данных и записывает мультимедийные данные. 5 н. и 32 з.п. ф-лы, 15 ил.

Изобретение относится к способу и системе отображения почтовых вложений на странице веб-почты. Технический результат заключается в повышении безопасности обработки почтовых сообщений за счет идентификации контента вложений. В способе выполняют получение на почтовый сервер от устройства связи получателя электронной почты запроса на рассмотрение сообщений, предназначенных для получателя электронной почты, получение почтовым сервером от почтовой базы данных электронных сообщений, обладающих конечным адресом, связанным с получателем электронной почты, причем электронные сообщения включают в себя электронное сообщение, обладающее почтовым вложением, передачу устройством связи инициирующего элемента, выполняющего функцию в инициировании отображения устройством связи страницы веб-почты для просмотра получателем электронной почты, которая отображает на каждой строке имя отправителя электронного сообщения, заголовок электронного сообщения, создание пиктограммы, при этом страница веб-почты дополнительно отображает на строке электронного сообщения, обладающего почтовым вложением, пиктограмму, представляющую собой почтовое вложение и иллюстрирующую контент почтового вложения. 2 н. и 38 з.п. ф-лы, 8 ил.

Изобретение относится к области интернет приложений, в частности к получению динамической информации. Технический результат - сокращение количества запросов динамических сообщений. Способ получения динамической информации, включающий получение, клиентом первого пользователя, цепочки взаимосвязей первого пользователя, причем цепочка взаимосвязей первого пользователя включает в себя по меньшей мере одного второго пользователя, определение клиентом степени активности указанного по меньшей мере одного второго пользователя в заданном первом временном периоде, определение опорного значения временного интервала запроса динамической информации согласно степени активности, определение степени обновления информации указанного по меньшей мере одного второго пользователя в заданном втором временном периоде, определение значения корректировки временного интервала запроса динамической информации на основе степени обновления информации, определение клиентом значения временного интервала согласно опорному значению временного интервала и значению корректировки временного интервала запроса динамической информации, а также запрос динамической информации указанного по меньшей мере одного второго пользователя согласно значению временного интервала запроса динамической информации. 3 н. и 17 з.п. ф-лы, 4 ил.

Изобретение относится к области сетевой безопасности. Технический результат - обеспечение эффективной безопасности учетной записи пользоавателя. Способ привязки ключа токена к учетной записи содержит этапы, на которых: отправляют сообщение запроса привязки, переносящее учетную запись, серверу, так что сервер формирует ссылку на сертификат и первый ключ токена, соответствующий учетной записи; получают ссылку на сертификат и первый ключ токена и формируют отображаемую информацию согласно ссылке на сертификат и первому ключу токена, так что мобильный терминал получает зашифрованную информацию согласно первому ключу токена и отправляет сообщение запроса доступа, переносящее ссылку на сертификат и зашифрованную информацию, и дополнительно так, что сервер принимает сообщение запроса доступа и отправляет зашифрованную информацию; получают зашифрованную информацию и получают второй ключ токена согласно зашифрованной информации и отправляют сообщение об успешной привязке серверу после определения того, что второй ключ токена согласуется с первым ключом токена, так что сервер привязывает первый ключ токена к учетной записи. 9 н. и 8 з.п. ф-лы, 10 ил.

Изобретение относится к области беспроводной связи. Технический результат - контроль доступа к сети. Способ замены скомпрометированных цифровых сертификатов, ассоциированных с электронными универсальными картами с интегральной схемой (eUICC), включенными в мобильные устройства, содержащий этапы, на которых на сервере управления eUICC: принимают указание того, что подписывающий центр, ассоциированный с множеством цифровых сертификатов, скомпрометирован; и для каждого цифрового сертификата из данного множества цифровых сертификатов: идентифицируют (i) eUICC, ассоциированную с этим цифровым сертификатом, и (ii) мобильное устройство, в которое данная eUICC включена, идентифицируют открытый ключ (PKeUICC), который (i) соответствует упомянутой eUICC и (ii) ассоциирован с упомянутым цифровым сертификатом, вызывают создание обновленного цифрового сертификата, причем обновленный цифровой сертификат основывается на PKeuicc и обновленном секретном ключе (SKUpdated_SA), который соответствует подписывающему центру, предписывают упомянутой eUICC заменить упомянутый цифровой сертификат обновленным цифровым сертификатом. 3 н. и 17 з.п. ф-лы, 19 ил.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных. Способ содержит этапы, на которых: принимают поток данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени от другого устройства связи, при этом пакеты потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени включают в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени; и передают запрос паузы от приемного устройства связи к другому устройству связи, при этом запрос паузы включает в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени и порядковый номер запроса паузы. 4 н. и 28 з.п. ф-лы, 11 ил.

Изобретение относится к технике связи и может использоваться в системах технологической связи. Технический результат состоит в повышении надежности связи. Для этого устройство включает интерфейс технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер соединяется с интерфейсом технологической связи. Хранилище правил соединяется с контроллером и имеет по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи по меньшей мере к одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи. 4 н. и 12 з.п. ф-лы, 6 ил.