Разработка браузерного расширения для защиты от фишинговых атак магистерская диссертация
Сущность техники реализации фишинг-атак и методы защиты от них. Архитектура браузерного расширения. Сравнительный анализ браузерных расширений для борьбы с фишингом. Алгоритм выявления фишинговых страниц. Описание интерфейса расширения, тестирование.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | диссертация |
Язык | русский |
Дата добавления | 28.11.2019 |
Размер файла | 6,3 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ОБРАЗОВАНИЯ
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ
«ВЫСШАЯ ШКОЛА ЭКОНОМИКИ»
Факультет бизнеса и менеджмента
Диссертация
по направлению подготовки 38.04.02 Менеджмент
образовательная программа «управление информационной безопасностью»
Разработка браузерного расширения для защиты от фишинговых атак магистерская диссертация
Дарбишева Патимат Гаджимурадовна
Руководитель
к.т.н., доцент
П.А. Баранов
Москва, 2019
Введение
Несмотря на огромное разнообразие IT-систем, одним из основных способов взлома информационных систем является фишинг.Фишинг (от англ. phishing) - это вид мошенничества, основной целью которого является получение конфиденциальных данных пользователей интернета обманным путем, чаще всего это данные кредитных карт, учетные данные, пароли. Все фишинг-атаки направлены на слабейшее звено любой современной системы безопасности - на человека.При этом, если конкретную уязвимость в коде можно исправить, то с фишингом бороться сложнее, нет существует единой меры, которая решила бы все проблемы. Аналогично с использованием уязвимостей в информационной системе для получения данных, хакер использует совокупность приемов для манипулирования поведением своих жертв. фишинг атака браузерный расширение
Объектомисследования являются фишинг-атаки.
Предмет исследования - браузерные расширения как технические методы борьбы с фишинг-атаками.
Целью исследования выпускной квалификационной работы является разработка программного инструмента для эффективного обнаружения фишинга в форме браузерного расширения.
Расширение для браузера - инструмент, при правильной настройке, позволяющий проводить проактивную защиту компьютера пользователя в рамках выделенных задач. Спектр использования расширений для браузера довольно широк, что обуславливает применимость использования как к индивидуальным пользователям, так и в рамках корпоративного использования.
Для достижения поставленной цели, необходимо решить следующие задачи:
· Провести обзор существующих методик фишинга;
· Провести обзор подходов к борьбе с фишингом;
· Протестировать имеющиеся браузерные расширения;
· Разработать алгоритм выявления фишинговых страниц;
· Найти открытое ПО для помощи в реализации алгоритма;
· Собрать серверную часть системы;
· Создать расширение для защиты от фишинга;
· Дальнейшее совершенствование алгоритма.
Таким образом, результатом работы автора будет программный продукт, находящийся в открытом доступе и доступный каждому пользователю, желающему обезопасить себя от фишинг-атак.
Структура работы включает в себя введение, три главы, заключение, список литературы.
В Главе 1 представлена информация, направленная на раскрытие существующей проблемы фишинга, перечислены распространенные практики реализации фишинг-атак, а также существующие методы защиты от них.
Глава 2 посвящена архитектуре и алгоритму работы браузерного расширения. В первой ее части представлены результаты сравнительного анализа имеющихся расширений для браузеров из каталога GoogleChrome. Было проведено тестирование отобранных расширений на 100 фишинговых страницах из публичных черных списков и 20 фишинг-страницах, разработанных в рамках исследования и не обозначенных в черных списках.
В Главе 3представлено подробное описание интерфейса разработанного расширения для браузера. Во второй части главы сформулированы результаты тестирования расширения на эффективность защиты от выделенных техник фишинг-атак.
В заключении ВКР будут сформулированы результаты и приведены ключевые выводы, сделанные на основании проведенного исследования.
В работе использовалась информация, полученная из различных источников, среди них: российские и зарубежные статьи периодических изданий по информационной безопасности (далее -- ИБ), тематические аналитические отчеты и исследования лидирующих на рынке ИБ-компаний, информация из СМИ и другое.
Глава 1. Техника реализации фишинг-атак и методы защиты от них
1.1 Техникафишинг-атак
Фишинг (phishing, от англ. словpassword и fishing) -- вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей обманным путем.Целевые и массовые атаки через письма, использующие социальную инженерию с вложениями, ссылками, а также письма-угрозы составляют 87% всех типов хакерских атак.[6]
Фишинг-така может иметь серьезные последствия, для физических лиц это включает несанкционированные покупки, кражу средств или выявление кражи. Для коммерческой компании, при успешной фишинг-атаке, вероятны высокие репутационные и экономические потери. Атаки такого типа имеют массовый, масштабный характер и могут затрагивать как отдельные компании, так и целые индустрии. [46]
С каждым годом становится все больше статистических данных о размерах хищения в результате фишинга, так, на форумеVestiFinance, посвященном финансовым технологиям, было освещено, что 91% таргетированных (а значит, тщательно подготовленных, требующих высокую квалификацию) атак начинается с фишинга, а средняя сумма хищения при таргетированной атаке составляет 90 млн. долларов. Достоверная статистика касаемо ущерба, наносимого фишинг-атаками индивидуальным пользователям неизвестна, но и она довольно велика, учитывая количество сайтов, сервисов и приложений, которыми пользуются люди в повседневной жизни. Специалисты Лаборатории Касперского, в своем докладе рассказывали о прецеденте, в котором преступники использовали подобную фишинговую рассылку с вредоносными вложениями и смогли получить доступ к внутренней сети банковской организации.[7]
Существует множество различных техник фишинга и, несмотря на то, что технически они имеют различия, цель у них одна - получения информации обманным путем.
Так как в работе затрагивается главным образом борьба с техническими методами борьбы с фишингом, то важно определить, какие пути обмана пользователя имеет злоумышленник. Только понимая структуру сайта, можно сделать вывод о способах фишинговых атак, которые могут быть применены в отношении пользователя с учетом психологии и моделирования его действий.
Мошенник для реализации атаки должен понимать строение сайта. С технической точки зрения, почти любой сайт состоит из нескольких элементов:
· дизайн;
· верстка;
· программный код;
· серверная часть;
· клиентская часть;
· содержимое (контент);
· система управления содержимым;
· доменное имя;
· хостинг.
С точки зрения злоумышленника, основные и обобщенные составляющие сайта, которые позволяют сделать его неотличимым от легитимного для жертвы это:
· адресная строка;
· контент сайта.
Адресная строка
· веб-ссылки;
Для реализации качественнойфишинг-атаки от злоумышленника требуется создать поддельный сайт, максимально похожий на настоящий и первое, что как правило видит человек прежде чем перейти на сайт - это ссылку на веб-страницу.
Злоумышленники часто используют субдоммены и названия легитимных сайтов с различными опечатками. Например, клиент банка ООО «Сбербанк» может получить фишинговое сообщение соследующей ссылкой -- http://www.sberbank.example.ru/, но в действительности страница приведет пользователя на фишинг-страницу сайта communicate.com.
Иной вариант обмана состоит в рассылке жертвам ссылок, внешне неотличимых от легитимных, но ведущих в действительности на фишинг-страницу. Например, http://ru.wikipedia.org/wiki/Хорошо приведёт не на страницу со статьей «Хорошо», а на страницу про статью «Плохо». Но это в большей степени касается ссылок для перехода из электронной почты, так как браузер отображает их корректно.
Ранее популярным способом создания фишинговых ссылок было включение символа «@» в ссылки. Например, при нажатии ссылкудля перехода на страницу www.yandex.ru@givemeyourpass.com приведёт жертву не на сайт www.yandex.ru, а на givemeyourpass.com от имени www.yandex.ru. Тем не менее на сегодняшний день в большинстве современных браузеров подобные махинации пресекаются еще на попытке перейти по ссылке. Но это не исключает использования в HTML-теге <a> значения href, которое не совпадает с текстом ссылки.
· веб-сайты;
Некоторыехакерыдля изменения адресной строки применяют JavaScript. Изображение с фальшивым URL может быть наложено поверх адресной строки, или же адресная строка может быть закрыта и сразу же открыта новая - уже с фиктивным URL.
Одной из популярных атак на веб-системы является межсайтовый скриптинг (от англ. Cross-SiteScripting). Данная атака заключается во внедрении зловредного программного кода на отдельную страницу сайта для дальнейшего взаимодействия с удаленным сервером мошенника и передачи ему необходимых данных.
· Паникод;
Следующим возможным вариантом действий злоумышленника является обращение к интернациональным доменным именам или IDN. IDN (от англ. InternationalizedDomainNames) -- доменные имена, содержащие в себе символы нелатинских алфавитов, например, россия.рф.
Паникод-- это способ приведения интернационализированных доменных имен, содержащих в себе unicode-символы, как, например адресправительство.рф,к виду, содержащему только символы ASCII, как того требует система DNS.
В таблице 1 представлены последовательность и кодировка символов, которые могут быть использованы в доменном имени.
Таблица 1. Пример паникода с популярными сайтами [8]
Последовательность символов |
КодировкаUnicode |
|
sbеrbаnk.ru |
xn--sbrbnk-6nf1b.ru |
|
mаil.ru |
xn--mil-6cd.ru |
|
tеlеgrаm.com |
xn--tlgrm-7ve5ab.com |
Вендоры современных браузеров уже обеспечивают защиту от такого вида атак, в основном все они применяют правила, согласно которым IDN должны отображаться в строке URL-адреса.
Самой надежной защитой в случае паникода является отказ от поддержки IDNA, но это обозначает блокировку доступа ко всем сайтам IDNA, но, как правило, браузеры разрешают доступ и просто отображают IDN в Punycode. В любом случае, это равносильно отказу от доменных имен не-ASCII.
Так, на практике, браузеры зачастую просто переводят паникод в кодировку Unicode, что позволяет пользователю увидеть в адресной строке непонятные символы вместо названия знакомого сайта.
Несмотря на то, что символы в домене выглядят совершенно правильными, на самом деле, латинские символы заменены на кириллицу и, соответственно, ссылка ведет совершенно на иную страницу.
· опечатки;
В современном интернете есть определение и для такого вида атак - тайпсквоттинг. Такой вид мошенничества заключается в регистрации доменных имен, которые практически полностью повторяют оригинальное, за исключением опечаток в один-два символа. Такие доменные имена нередко рассчитаны на невнимательных людей для получения доходов от рекламы на сайте.
Мошенники пользуются тем, что пользователи сайтов не всегда знают, какой адрес страницы правильный: online.sberbank.ru или onlinesberbank.ru? Для визуального сходства они также заменяют одни символы алфавита другими, внешне схожими, например, буквы i, l и 1.
Контент сайта
Обязательной составляющей эффективной фишинг-атаки является качественное копирование контента оригинальной страницы, ведь в отличие от адресной строки, каждый пользователь обратит внимание, а изменения в интерфейсе сайта, которым пользуется каждый день в течение долгого времени.
Веб-контент имеет очень широкое значение, как правило, подним понимается текстовое, визуальное или аудио содержание страницы.
Несмотря на постоянное совершенствование систем защиты, существует множество различных способов для обхода фильтров информационной безопасности:
- использование символов, которые не могут быть разобраны системой безопасности, но понятны человеку.
- использование особенно длинных ссылок;
- внедрение вредоносных ссылок и программ в продукты MicrosoftOffice;
- в отдельных случаях использование векторных изображений вместо растровых. В отличие от растровых изображений, векторные не подходят для сравнения и идентификации программными средствами безопасности.
- технология Flash. Создание контента сайта, скрытого в мультимедийых объектах так, что фишинговый сканер не может распознать атаку.
Злоумышленники используют Flash-анимацию для создания поддельных сайтов в качестве стратегии для победы над автоматизированными антифишинговыми службами, которые сканируют текст страницы в поисках подозрительных фраз (например, торговых марок финансовых учреждений). Когда такие фразы подбираются, они обычно идентифицируют страницу как мошенническую. Даже непосредственно сами поисковые системы не смогут прочитать или понять сайт, если он основан на Flash.
Также, нередко фишинг не обходится без социальной инженерии, которая зачастую не требует от хакера специальных знаний и технической подготовки, что делает его одним из самых популярных и как ни странно, самых эффективных способов «выуживания» информации.
Социальная инженерия требует от злоумышленника подхода с точки зрения человеческой психологии. Часто для привлечения внимания пользователя хакеры используют новости, способные вызвать в человеке нестабильное состояние, импульс, который перекроет бдительность и заставит скорее перейти по ссылке и решить проблему, которой, на самом деле, не существует.
Веб-браузер - это окно в интернет. Он доставит вас на любую веб-страницу, но, при этом, никак не гарантирует ее безопасность. Именно поэтому с использованием браузера связано множество опасностей
В данной работе будут исследованы фишинг-атаки, направленные на мимикрию под легитимный сайт путем копирования контента страницы и данных адресной строки посредством паникода, омографов, опечаток (тайпсквоттинга) и т.д.
Этот способ фишинга один из самых популярных, так как он весьма эффективен, несложен в эксплуатации и при этом не требует от злоумышленника прямого контакта с жертвой.
1.2 Методы борьбы с фишинг-атаками
Защиты отфишинг-атак требует ряда комплексных мер, которые можно классифицировать как совокупность, представленную ниже на рисунке 1:
Рисунок 1. Совокупность мер защиты от фишинговых атак
1. Организационные методы - неотъемлемая часть внедрения принципов информационной безопасности в любой организации. Совершенно бессмысленным будет наличие доказано эффективных средств защиты, если пользователи не знают элементарных признаков мошеннических действий с целью получения конфиденциальной информации.
В случае коммерческих организаций, организационные меры не ограничиваются собственными сотрудниками, также требуется пропаганда основ защиты информации среди клиентов.
На рынке информационной безопасности данный вид просвещения сотрудников и клиентов в области фишинга стал настолько популярен, что каждый год появляются все новые и новые продукты, самыми популярными из них являются следующие:
· Antiphishingкомпании ООО «Антифишинг»;
· Kaspersky СyberSecurityAwareness;
· Phishme;
· Wombatsecurity;
· Nobe4 и другие.
2. Технические методы
Ключевыми техническими методами защиты пользоватей от фишинга являются следующие меры:
· Усложнение процедуры авторизации, повсеместное внедрение двухфакторной аутентификации;
· Защита от фишинга почтовых сообщений;
· Услуги мониторинга;
· Браузерныеплагины и расширения;
· Комплексные антивирусные программы и другое.
Плагины интернет-браузеров и антивирусы дополняют друг друга, обеспечивая максимальную защиту персонального компьютера. На сегодняшний день практически все существующие антивирусыимеют функцию антифишинга. Но по факту, большинство из них определяет, является сайт фишинговым или нет, путем сверки домена сайта с доменами, находящимися в публичных черных списках мошеннических доменов, что является эффективным только в случае столкновения с массовыми фишинг-атаками. [9]
С учетом техник фишинга, а рисунке 2 представлена схема процессов, созданная с помощью методологии функционального моделирования IDEF0, она показывает какие элементы являются входными, а какими выходными для процесса разработки расширения для браузера. На входе отмечено техническое задание для создания расширения, которое состоит из перечня необходимых характеристик, атак, на которых расширение будет акцентированно.
Рисунок 2. Контекстная диаграмма разработки расширения для браузера
К управлению можно отнести:
- план работы над расширением;
- технические требования для расширений браузера.
К механизмам относятся программное обеспечение, аналитические отчеты компаний о фишинге, сервер для разработки серверной части расширения и непосредственно исполнитель.
Выходным ресурсом является расширение для браузера для борьбы с фишинг-атаками.
Таким образом, главная защита от фишинга - это прежде всего бдительность и осведомленность самого пользователя, иными словами, превентивные меры. Затем следует применение технических мер защиты в качестве проактивныхмер, применение которых целесообразно именно в момент открытия фишингового сообщения или перехода по ссылке. Применение юридических мер в отношении информационной безопасности в рамках российского законодательства не до конца определено, но имеет место быть с учетом развития законодательной базы или возможности принятия внутренних регламентов в организации.
С учетом этого будет проведена декомпозиция функции и разбита на пять подфункций (Рисунок 3):
1. Анализ угроз и методик фишинга;
2. Разработка алгоритма работы расширения;
3. Разработка его клиентской части;
4. Написание серверной части;
5. Тестирование разработанного расширения и анализ результатов
Таким образом, принято решение разработки расширения для браузера, так как оно имеет наиболее широкое применение. По сравнению с почтовым сервером, изменения в который внести не так просто.
Рисунок 3. Диаграмма декомпозиции процесса разработки расширения для браузера
Предположительно, фишинг может быть распознан тремя основными путями:
· на уровне почтового сервера;
· на уровне рабочей станции;
· глобальный поиск фишинг атак.
На уровне почтового сервера. Например, с помощью прокси-сервера, с существующим белым и черным списком сайтов.
Возможно обнаружение опасности глобально с помощью threatintelligence, данный термин используется для определения киберразведки с целью обозначить возможные угрозы для информационной безопасности организации. Для проактивной защиты можно отобрать популярные адреса сайтов, таких как, например, facebook.com, а далее, получить производные от слов в домене и найти домены с небольшими отличиями. Для таргетированных атак эффективен только проактивный писк фишинговых доменов.
Например, возможен вариант поиска доменов, похожих на легитимный, которые были кем-то несанкционированно зарегистрированы и заранее их блокировать. Но такой домен не обязательно будет обнаружен, потому что можно сделать ссылку похожую на корпоративный бренд, и она будет засвечена впервые только в отправленном фишером письмом. Значит, она должа быть обнаружена или непосредственно на почтовом сервере, либо на уровне пользователя. Почтовый сервер может не среагировать на такую ссылку, а человек не обратить внимания, что ссылка странная, например вместо sberbank.ru, там sberbank.trololo.ru и на этом этапе должно сработать расширения браузера. В принципе, алгоритм использующийся в расширении может использоваться и в почтовом сервере.
Вывод:
Фишинг-атаки каждый год наносят огромный урон корпоративным компаниям и индивидуальным пользователям.
На сегодняшний день существует множество мер защиты от фишинга, но самыми распространенными и доступными из них являются:
· двухфакторная аутентификация
· ведение строгой политики управления паролями. Например, сотрудники должны иметь менеджер паролей, часто менять свои их и не иметь права повторно использовать пароль для нескольких приложений;
· образовательные кампании в качестве организационных мер защиты.
Но снизить человеческий фактор к минимуму позволит универсальное решение, которое бы проактивно на рабочей станции пользователя реагировало на открывабщиеся ссылки. Для этого, в качестве технических мер защиты, предлагается создать браузерное расширения для защиты от фишинга.
Глава 2. Архитектурабраузерного расширения
2.1 Сравнительный анализ браузерных расширений для борьбы с фишингом
Проблема фишинга в информационный век стоит остро и уже касается не только корпораций, стремящихся защитить свои финансовые средства или корпоративную тайну. С внедрением технологий во все сферы жизни обычных людей, они невольно оказались в рискованном положении.
Несомненно, очевидна нужда в комплексных мерах, большое внимание должно уделяться повышению осведомленности всех сотрудников в компании, даже тех, кто не задействован в работе с конфиденциальной информацией. Но несмотря на все предосторожности, человеческий фактор исключить нельзя.
В первой главе были проанализированы методы, который используют злоумышленники для реализации фишинг-атак. Для создания индивидуальной защиты каждого пользователя от подобных атак было решено создать расширение для браузера GoogleChrome.
Расширение -- это подключаемый к основному ПО модуль, который способен дополнить или напротив, уменьшить, его функциональность. Расширение также нередко путают с плагинами, их отличие в том, что они, как правило, представляются в форме скомпилированного файла, который является платформо-специфичным, выполняется в виде разделяемых библиотек.
Плюс расширения во многом в удобстве в использовании для людей, не обладающих техническими навыками, поскольку они вероятнее всегоне станут настраивать свой почтовый сервер и задумываться каким образом им защититься от мошенников в интернете. Наличие браузерногорасширения способно защитить их от большинства видов фишин-атак, в том числе массовых. Надо учитывать, что атака может быть таргетирована не на конкретную компанию, а,например, по языку, и если она будет реализована только по России, то пройдет достаточно много времени прежде чем она попадет в черный список, и тем более в глобальный.
Для анализа существующих расширений был выбран самый популярный браузер в мире - Google Chrome, согласно статистике, его предпочитают более половины всех интернет-пользователей. За год доля GoogleChrome увеличилась на 10,84% и достигла 59,49%. [10]
На рисунке 4изображён скриншот каталога расширений для браузеров GoogleChrome.
Рисунок 4. Скриншот каталога браузерных расширений GoogleChrome
В каталоге расширений GoogleChrome по ключевому слову «phishing», было найдено более 157 различных расширений, каждое из которых было проанализировано и отобрано по ряду признаков:
· специализация расширения на защите от фишинга;
· бесплатный доступ;
· количество пользователей не менее 3500 устройств.
Самыми популярными приложениями, которые в ряде своих остальных функций также упоминают борьбу с фишингом, являются расширения для блокировки рекламы. Главным образом, они просто сверяют данные сайта с черными списками доменных имен, хранящимися в специальных базах, которые распространены в интернете, самые популярные из них имеют многотысячную аудиторию и представлены в таблице 2.
Таблица 2. Популярные расширения с функциями антифишинг [11]
№ |
Наименование расширения |
Количество пользователей |
|
1 |
EasyAdBlocker |
661507 |
|
2 |
AdsKillerAdblockerPlus |
481555 |
|
3 |
TrafficLight |
461 532 |
|
4 |
AdblockerGenesisPlus |
352923 |
Это объясняется тем, что проблемы безопасности беспокоят не столь большую группу людей, в отличие от проблемы с навязчивой рекламой, которая раздражает каждого. В каталоге расширений есть множество тех, которые специализируются исключительно на паникоде или исключительно на проверке сайта по черным списками, они оказываются неконкурентоспособны и имеют малое количество пользователей. Поэтому в процессе создания собственного расширения стоит цель сделать его универсальным и удобным для многих юзеров сразу.
Для определения эффективности работы расширений было проведено скачивание каждого из них и проверка на фишинговых сайтах в количестве 100 шт.
· 20 сайтов из выборки разработаны в рамках исследования, часть из них создана сотрудниками компании DeteAct[12] для использования в рамках аудита и информационной безопасности своих клиентов.
· 100 сайтов были взяты из разных баз публичных черных списков, таких как как phishtank.com, openphish.com, репутационной базе weboftrust и других. [13]
На рисунке 5 приставлен публичный список мошеннических и подозрительных сайтов базы PhishTank.
Рисунок 5. Каталог репутационной базы PhishTank.com [14]
Для тестирования расширений URL сайтов брались из различных публичных репутационных баз, так как всегда есть вероятность того, что отдельные из них обновляются чаще.
Результаты сравнительного анализа представлены в таблице ниже, оценка проводилась по следующим критериям:
· проверка по черным спискам;
· распознавание омографов;
· распознавание опечаток;
· распознавание паникода;
· распознавание копий.
Критерии были отобраны в соответствии с исследованием самых распространенных техник фишиг-атак, представленном в Главе 1.
Отобранные для сравнительного анализа браузерные расширения перечислены в таблице 3.
Таблица 3. Отобранные расширения для браузера [11]
№ |
Наименование расширения |
проверка по Blacklist |
распозна -вание омографов |
распозна -вание опечаток |
распозна -ваниепаникода |
распозна -вание копий |
Количе- ство юзеров |
|
1 |
Avast Online Security |
1 |
0 |
0 |
1 |
0 |
10 000 000+ |
|
2 |
Netcraft Extension |
1 |
0 |
0 |
0 |
0 |
50 567 |
|
3 |
Web Shield - Phishing Protection |
1 |
0 |
0 |
1 |
0 |
4 498 |
|
4 |
PhishProtect Beta |
1 |
0 |
0 |
1 |
0 |
16 987 |
|
5 |
Online Security Pro |
1 |
0 |
0 |
0 |
0 |
110 244 |
|
6 |
Emsisoft Browser Security |
1 |
0 |
0 |
0 |
0 |
45 629 |
|
7 |
TrafficLight |
1 |
0 |
0 |
0 |
0 |
461 532 |
|
8 |
Malwarebytes Browser Extension |
1 |
0 |
0 |
0 |
0 |
120 399 |
Информация о наличии функций по защите расширением пользователя по тому или иному критерию была получена из описания продукта на официальной странице GoogleChrome и ссылок в описании расширения, ведущих на веб-сервис GitHub для хостинга ИТ-проектов с открытым исходным кодом.
В таблице 4 представлены результаты реагирования отобранных расширений на фишинговые сайты.
Таблица 4. Количество распознаваний 100 фишинговых сайтов из публичных черных списков
№ |
Наименование расширения |
распознано страниц |
не распознано |
|
1 |
Avast Online Security |
3 |
97 |
|
2 |
Netcraft Extension |
1 |
99 |
|
3 |
Web Shield - Phishing Protection |
0 |
100 |
|
4 |
PhishProtect Beta |
0 |
100 |
|
5 |
Online Security Pro |
63 |
36 |
|
6 |
Emsisoft Browser Security |
10 |
90 |
|
7 |
TrafficLight |
0 |
100 |
|
8 |
Malwarebytes Browser Extension |
13 |
87 |
|
9 |
Google Chrome |
86 |
14 |
Исходя из результатов тестирования на выборке из 100 сайтов, святых с различных публичных баз фишинговых сайтов, можно сделать вывод, что расширение, наиболее эффективно справляющееся с предупреждением пользователя о фишинге -- Online Security Pro. Несмотря на то, что оно распознало и заблокировало 63 сайта из 100, оно все же значительно уступает по эффективности работе браузера Google Chrome. В большинстве случаев, при попытке перейти на подозрительную страницу, реагировал непосредственно сам браузер. Пример предупреждающего окна Google Chrome на рисунке 6:
Рисунок 6. Предупреждение о переходе на сайт с плохой репутацией от браузера GoogleChrome
Помимо реагирования браузера, в процессе тестирвоания блокировка мошеннических сайтов осуществлялась различными онлайн-сервисами, в частности, сервисами https://tinyurl.com/ и https://phish.opendns.com/. Спустя 5 дней, при повторном запуске всех сайтов, автор обнаружил, что количество отобранных для тестирования сайтов, заблокированных этими сервисами выросло.
Для проверки работы браузера были отключены все расширения, способные препятствовать переходу на подозрительные страницы. Исходя из этого, можно сделать вывод о том, что применение расширений для защиты от фишинг атак, использующих черные списки - практически бессмысленно.
Для того, чтобы сайт попал в публичный черный список, должно быть соблюдено множество условий, как правило, он туда попадает после многочисленных жалоб посетителей, отчетов антивирусных программ и т.п. По этой причине отдельные фишинговые страницы, созданные и добавленные в черный список совсем недавно, не вызывают никакой реакции ни со стороны браузера, ни со стороны расширения.
Это подтверждает то, что ни один сайт не отреагировал на 20 фишинговых страниц, созданных в процессе исследования, реализации фишинг-атак и атак социальной инженерии на рабочем месте автора в компании ООО «Непрерывные технологии».
2.2 Алгоритм выявления фишинговых страниц
Протестировав работу отобранных расширений, было определено, что они хорошо срабатывают при защите от уже известных в интернете атак, которые успели попасть в публичные черные списки. Такие фишинг-атаки, как правило, массовые, по охвату похожи на спамовые рассылки.
Самый частый сценарий фишинговой атаки посредством создания страницы, имитирующей легитимную, выглядит так:
1. Хакер рассылает персонализированные сообщения по почте/мессенджерам и др. Для увеличения конверсии, от хакера требуется сделать правдоподобным все - начиная от стиля письма и заканчивая схожестью адресной строки;
2.Пользователь, увидев сообщение, принимает его за настоящее, переходит по ссылке и далее видит знакомый интерфейс;
3. Не заметив подвоха, пользователь вводит свои конфиденциальные данные или загружает вредоносный файл;
4. После ввода информации в фишинговую страницу, она автоматически попадает в руки злоумышленников. Загруженный файлы содержат вредоносное ПО и могут совершать сбор информации, запускать или отключать программы и т.п.
5. Хакер проникает в сеть и крадет информацию, данные банковских карт или шифрует данные для требования выкупа.
Целью подобного обмана является заманивание пользователя на фиктивный сайт, имитирующий легитимный, чтобы похитить его персональную или иную конфиденциальную информацию. Также, нередки случаи в последствие заражения компьютера трояном. Компьютер пользователя может быть подключен к ботнет-сети и использоваться в самых разных направлениях, таких как рассылка спама, участие в DDOS, и даже сбора данных с компьютера для дальнейшей их передачи мошеннику. [16]
Задачей стало создание расширения, которое бы реагировало на даже небольшие изменения в URL, которые могут остаться незаметными человеческому глазу, это также касается и популярного способа подделки легитимных сайтов -- использования паникода в URL. Иными словами, расширение должно уметь защищать от паникода, тайпсквоттинга, омографических атак.
Для защиты от подобных атак предлагается алгоритм:
· Пользователю предоставляется возможность создания черных и белых листов веб-страниц;
· При добавлении сайта в «белый» лист, с помощью открытого программного обеспечения, генерируются различные мутации URL. Программные модули DNStwist и OpenDNS обычно используются злоумышленниками при подготовке к фишинг-атакам;
· Мутации сайтов из «белого» листа хранятся в «черном» списке;
· Далее, при переходе пользователем на сайт, схожий на легитимный и имеющий при этом совпадения в длине домена, наличии паникода и др. пользователь получит предупреждение о том, что, скорее всего он находится на фишинговом сайте. Всплывающее окно оставляет за пользователем право добавить открытую страницу в белый или черный список список.
Такой подход позволит снизить вероятность фишинг-атак через адресную строку
Но нередко адресная строка имеет совершенно иную структуру или строение, которые программа не может распознать напрямую. Также,часто основной упор злоумышленника делается на визуальную схожесть сайтов. Как было уже описано в 1 главе, распознавание сайта по его «внешним признакам» возможно осуществить несколькими путями.
Первый из них, это использование расстояния Левенштейна или иначе говоря редакторского расстояния.
Расстояние Левенштейна -- это самое наименьшее число необходимых операций вставки, удаления или замены одного символа на иной для превращения одной строки в другую.
Второй же способ заключается в анализе метаданных сайта, который предположительно является фишинговым. Практика показывает, что злоумышленники зачастую не утруждают себя и используют в html-коде на фишинговых страницах ссылки на легитимные сайты. Это главным образом касается фавиконок (от англ.FAVorites ICON) - значков веб-сайтов. Таким образом, целесообразно будет проводить анализ соответствия данных из URL и данных, которые указаны в ссылках html-кода. Данный способ определения фишинговой страницы по внешним признакам также более быстр и прост в использовании.
Так как веб страница это структурированный текст, то можно сравнивать именно html структуру. Чаще всего мошенники просто копируют html код с оригинальной страницы. Правда, в случае, если мошенники будут использовать вместо букв, например, картинки или просто вставят скриншот оригинального сайта, программа не заподозрит мошенничества.
Для исключения ложных срабатываний, изучение метаданных иhtml структуры страницы можно проводить только для тех сайтов,хостнеймы которых состоят от 5 и менее символов.
Изучив существующие расширения для браузера аналогичной направленности, выделив их недостатки и достоинства, было решено реализовать следующий алгоритм работы расширения:
1. Создание списка самых критичных сайтов пользователем или организацией
2. пользователь добавляет сайт в белый список
2.1. если количество символов в хостнейме более 5:
· из доменов на сервере генерируются различные мутации домена с учетом паникода;
· определяется, есть ли в URL замены в словах, например, замену “mail” => “maii” можно найти по словарю
2.2. если количество символов в хостнейме равно или менее 5:
· определение фишинга по анализу контента страницы, исходя из упоминания оригинального домена или наличия тега <basehref в html-коде
3. При нахождении сайта в черном списке, или же при отсутствии соответствия ссылок в html-коде страницы генерируется предупреждение:
· «Вы точно хотите перейти на сайт ****, в нем присутствует опечатка/подозрительные элементы и т.п.?»
· «Внимание, метаданные данного сайта ссылаются на ****, возможно это фишинг»
4. В расширении может присутствовать универсальный черный список для самых популярных сайтов
Процесс разработки расширения можно разделить на создание:
· серверной части расширения;
· клиентской части;
На рисунке 7 представлен алгоритм работы серверной части расширения для браузера в формате блок-схемы:
Рисунок 7. Блок-схема серверной части расширения
Как можно увидеть на блок-схеме, первым этапом в работе расширения является процесс ввода URL, далее, для того, чтобы привести информацию в единый вид, упорядоченный список, из URL извлекается hostname.
Блок-схема содержит циклы, которые выполняются до тех пор, пока извлеченный hostname не будет сравнен с каждым из списка.
На рисунке 8 представлена другая блок-схема, описывающая клиентскую часть расширения.
Рисунок 8. Блок-схема алгоритма клиентской части расширения
Согласно описанному алгоритму, программа после получения URL ищет его наличие в локальном хранилище. При отрицательному результате, URL отправляется на сервер. После выполнения серверной части расширения пользователь получает предупреждение, в случае фишинга или же страница перезагружается.
В случае, когда пользователь добавляетв белый список извлеченный из URLхостнейм, равный или менее 5 символов, черный список пополняется всеми возможными мутациями хостнейма, которые могут быть фишинговыми. При таком раскладе, весьма высока вероятность ложных срабатываний, так как хостнеймы такой длины очень распространены и среди легитимных сайтов, и, соответственно, среди фишинговых. По причине минимизации ложных срабатываний расширение будет включать дополнительные меры - распознавание содержимого html-кода исследуемого сайта.
Если хостнейм сайта, на который перешел пользователь, находится в черном списке на сервере расширения, и количество символов ? 5, то расширение обращается к коду страницы и выделяет в нем метаинформацию.
На рисунке ниже представлен алгоритм распознавания расширением контента сайта. Он используется в случае, когда количество символов в hostname менее или равно 5. В ином же случае выполняется алгоритм, изображенный на рисунке 9.
После введения URL, hostname которого меньше или равен 5, программа извлекает метаинформацию из html содержимого страницы. Затем, из метаинформации извлекаются ссылки на:
· изображения фавикон;
· OpenGraph.
На рисунке 9 представлена блок-схема алгоритма расширения для процесса распознавания метаданных кода страницы.
Рисунок 9. Блок-схема алгоритма распознавания контента сайта
OpenGraph - это протокол микроразметки, созданный компанией Facebook для создания превью новостям, которыми делятся пользователи, он дает возможность веб-странице быть полноценным объектом в социальных сетях и быстро завоевал популярность.
Далее, после извлечения ссылок на метаданные, из каждой ссылки текущего URL извлекаются hostname без учета зоны TLD (англ. top-leveldomain). Для упрощения, дадим обозначения ссылке на фавикон- h2, а ссылке на OpenGraph - h3.
Затем, для каждой ссылки на метаданные измеряется расстояние Левенштейна по отношению к текущей ссылке (h1). Если значение расстояния Левенштейна более 5, то можно сделать вывод о том, что сайт не фишинговый. В обратном случае, нужно убедиться в том, является ли
hostname ссылок на метаданные h2 и h3 субдоменом h1.
В случае, если введенный пользователем hostname не будет найден в списке, хранящемся на сервере, страница просто загрузится. Если же hostname будет обнаружен на сервере в качестве обозначенного как фишинговый - пользователь получит предупреждение о том, что страница, вероятно, принадлежит мошенникам, которые могут украсть данные его аккаунтов, кредитных карт и т.д. Далее ему будет предоставлена возможность решать, как поступить дальше, есть несколько вариантов:
· добавить сайт в whitelist (белый список);
· выбрать опцию «вернуться к безопасности»;
· закрыть вкладку напрямую.
Для обеспечения анонимности пользователя, данные о посещаемых страницах пользователя на сервер будут передаваться в виде хэш-значений с определенной длиной.
2.3 Архитектура браузерногорасширения
Браузерные расширения дляGoogleChrome, как правило, состоят из:
· манифеста;
· фоновой страницы;
· пользовательского интерфейса;
· сценария;
Файл маниместа под названием manifest.json содержит в себе информацию о заголовке, описании, ярлыках и т.п., которая необходима GoogleChrome.
Фоновая страница существует для того, чтобы объединять весь используемый код в одном месте и не имеет html-разметки, т.е. является невидимой. [24]
Страницы пользовательского интерфейса --страницы, которые передаются пользователю расширением.
Сценарии - файлы в форматеJavaScript, они внедряются в веб-страницы для последующего взаимодействия.
Архитектура клиентской части расширения состоит из:
· расширение;
· браузер;
· хранилище (для белого списка)
Архитектура серверной части:
· веб-сервер;
· API;
· хранилище (для черного списка)
Ниже на рисунке 10 представлено схематическое изображение работы расширения на примере ссылки maii.ru:
· Браузер пользователя обращается к maii.ru;
· Расширение запрашивает в облаке проверку сайта maii.ru;
· Облако проверяет сайт по репутационным базам, содержимому и эвристике (в случае величины числа Левенштейна ?5);
· Пользователь получает предупреждение и не заходит на сайт.
Рисунок 10. Архитектура браузерного расширения
Рисунок 11. Интерфейс DNSTWIST
В реализации расширения использовалось открытое ПО, например, для создания мутаций URL легитимных ссылок применялись программные модули DNSTWIST [25] иURLCRAZY [26]. На рисунке 11 показан результат запроса модификаций хостнейма сайта «mail.ru». Данные программы как правило используются злоумышленниками для поиска свободных URL, чтобы создать фишинг-страницу.
В процессе тестирования эффективности расширенийприменялся открытый программный продукт Gophish [27]. Он создан с целью упрощения процедуры проведения фишинг-атаки, позволяя автоматически создавать письма и копии веб-страниц и популярен как среди злоумышленников, так и специалистов по ИБ. С помощьюGophish в работе создавались фишинг-копии легитимных сайтов для проверки реагирования.
Рисунок 12. Список популярных паникод-символов
Для обнаружения паникода используется открытое ПО под названием Phishai, так же размещенное на Github. Главная его ценность в том, что продукт содержит в себе символы из разных алфавитов, которые похожи на латинские.[27]
На рисунке 12 представлен список самых популярных паникод-символов, которые используются вместо латинских букв в адресных строках фишинговых сайтов.
В разрабатываемом расширении этот список используется для создания всех возможных мутаций легитимного хостнейма, что позволяет разом решить проблему с паникодом, омографическими атаками и опечатками в хостнеймахфишиновых сайтов.
Таким образом, пользователю дается свобода выбора в определении сайта мошенническим, в частности, это обусловлено тем, что невозможно исключить ложные срабатывания и многие легитимные сайты могут иметь похожие названия.
Также, важным условием безопасного использования расширения пользователем, является гарантия его анонимности. В связи с этим, сервер будет получать информацию об адресной строке и непосредственно хостнейме пользователя исключительно в виде хэш-суммы. Многие расширения с функционалом анализа посещаемых сайтов потеряли доверие своих клиентов по причине сбора и хранения данных о посещаемых данных, персональных данных клиентов и т.п.
Вывод:
В данной главе в процессе тестирования имеющихся браузерных расширений GoogleChrome на 100 сайтах из публичных черных списков и 20 специально разработанных фишинговых сайтов с омографами, паникодом и опечатками была выявлена неэффективность работы отобранных расширений. Как оказалось, непосредственно браузер GoogleChrome отлично справляется с блокированием сайтов из черных списков. К тому же, выявлено, что публичные черные списки способны защитить только от массовых фишинговых атак, которые получили достаточное количество жалоб и огласки в интернете, что также говорит о неэффективности защиты.
Разрабатываемое браузерное расширение должно позволить защитить пользователей от самых распространенных техник фишинговых атак, таких как омографы, опечатки, паникод и подмена контента, при этом обеспечивая пользователю абсолютную анонимность.
3. Браузерное расширение для защиты от фишинговых атак
3.1 Описание интерфейса расширения
Важно понимать, что несмотря на распространенность мнения о том, что фишинг-- это главным образом проблема корпораций, актуальность защиты от него среди индивидуальных пользователей более чем обоснована. Коммерческие компании, как правило, имеют ограниченный перечень критичных для них сайтов, контрагентов, разрешенных в компании мессенджеров и, например, банковских сервисов. В то время как для индивидуального пользователя данное количество ничем не ограничивается и мало того, сайты и сервисы регулярно обновляются и заменяются друг другом. Таким образом, вероятность стать жертвой фишинг-атаки каждый раз растет с ростом количества используемых сайтов.
Расширение для браузера может использоваться как индивидуальными пользователями, так и корпоративными. Для корпоративных пользователей возможна настройка доменной политики через доменный сервер. Учитывая сферу деятельности и контрагентов компании, может быть создан объединенный белыйи, соответственно, черный список сайтов.
В случае же с индивидуальными пользователями, каждый из них сам выбирает, какие имена узлов следует добавить в белый список, исходя из частоты использования и критичности данных приложений, сервисов, сайтов и т.п.
Для того, чтобы не попасться на уловку злоумышленника при переходе на ссылке на поддельный сайт, пользователям нужно также соблюдать предосторожность. Двухфакторная аутентификация не позволит ему ввести свой пароль и логин на неоригинальную страницу, а использование менеджера паролей на может дать понять, что сайт, на который он перешел по ссылке, подозрительным образом не обнаруживается в базе сохраненных логинов и паролей.
Ниже на рисунке 13изображено положение иконки расширения HSEAntiFish в интерфейсе браузера.
Рисунок 13. Положение иконки расширения HSE AntiFish в интерфейсе GoogleChrome
При переходе на любой сайт, нажатием на иконку, пользователь, имея основания считать сайт легитимным, сможет добавить сайт в белый список. Для исключения ошибочного добавления в белый список фишинговых сайтов, желательно чтобы пользователь открывал сайт самостоятельно, не переходя по ссылкам из мессенджеров и других каналов связи.
Далее процедура создания черного списка описана более подробно.
На рисунке 14 можно увидеть скриншот сайта оригинального сайта мессенджера Телеграм -- web.telegram.org. Несмотря на его запрет в России, он пользуется популярностью среди людей, стремящихся к анонимности в интернете, беспокоящихся о конфиденциальности. В интернете можно наткнуться на огромное количество фишинговых страниц, мимикрирующих под оригинальный Телеграм. Если человек не привык вчитываться в хостнейм сайта и опирается только на визуальное впечатление от страницы, то велика вероятность принять сайт за легитимный.
Рисунок 14. Скрин экрана легитимной станицы - telegram.org
Перейдя на оригинальную страницу, пользователь может нажать на иконку в правой стороне экрана и далее подтвердить, что он желает создать для данного сайта черный список, состоящий из мутированныххостнеймов.
На рисунке 15 изображен фишинговый сайт telgram.net.
Рисунок 15.Скин экрана фишинговой страницы - telgram.net
Так, например, выше приложен рисунок с фишинговым сайтом https://telgram.net/#/login, внешне не отличимым от настоящего, к тому же, его доменное имя отличается всего на одну букву от оригинального.
Возможность самостоятельно изменять черный список сайтов позволяет снизить количество ложных срабатываний.
При подходе создания черных списков, которые состоят из мутаций имени узла существует вероятность ложных срабатываний и, можно предположить, чтоиной подход, основанный на автоматическом создании черных списков сайтов после каждого посещения нового сайта пользователем был бы более эффективным и не требовал от пользователя каких-либо специальных действий. Но, в действительности, если после каждого посещения сайта будут создаваться мутации hostname, то в число белых списков могут попасть фишинговые, а в число черных - легитимные, что и говорит о еще большей вероятности ложного срабатывания.
При открытии ссылки любого сайта пользователю предоставляется возможность сгенерировать все мутации hostname на сервер путем нажатия кнопки справа.
Рисунок 16. Предупреждение расширения о фишинг-странице
При попытке перехода на страницу, находящуюся в черном списке, расширение выдает следующее предупреждение (Рисунок 16):
В данном случае на индивидуальном пользователе лежит ответственность за то, какой сайт он добавит в «белый список» -- легитимный или не легитимный. Предполагается, что создание таких списков происходит заранее, при открытии ссылок на сайты самостоятельно, а не по ссылкам из полученных сообщений и других каналов связи.
Большинство блеклистов создаются постфактум, уже после того, как сайты с фишингом были разосланы пользователям интернета, а они, впоследствии, заявили о мошеннических действиях сайта в специализированные сервисы или посредством антивируса.
Для повышения эффективности защиты от фишинга, пользователь может сообщить о странице, которая на его взгляд подозрительна или откровенно мошенническая, в разработанном расширении предусмотрена возможность отметить сайт как подозрительный. Впоследствии, информация о данной странице направляется в техническую поддержку компаний Google [38] и Яндекс [39]. Учитывая, что в ходе тестирования расширения при переходе на фишинговые страницы из публичных черных списоков, браузер Google Chrome показал свою эффективность, было решено, что такая обратная связь от индивидуального пользователя будет действенной в обнаружении новых фишинг-страниц.
Таким образом, пользователь имеет гибкую систему предупреждения о возможных фишинг-атаках, в случае ошибочного добавления страницы в черный список, он сможет отменить действие и добавить ее в белый список.
3.1 Тестирование браузерного расширения
Для оценки практической эффективности расширения было проведено тестирование на фишиговых страницах, перечисленных в черных списках из нескольких публичных базблеклистов.
Разработанное расширение тестировалась в отношении следующих функций:
1. проверка расширения по черному списку;
Расширение при распознавании фишинга не обращается к публичным черным спискам, потому что согласно результатам тестирования,с данной функцией эффективно справляется браузер и онлайн службы, такие как OpenDNS, TinyURL и другие.
2. распознавание омографов;
Расширение охватывает случаи имитации оригинального URL путем целенаправленных замены символов на те, которые визуально похожи, например, замена i, о, h на l, 0, n соответственно.
3. распознавание опечаток;
Аналогичная ситуация с опечатками, так как в случае создания черных списков, основанных на мутациях оригинального хостнейма, они включают в себя, как и варианты с омографами, так и варианты с опечатками или тайпсквоттингом.
4. распознавание паникода;
Разработанное расширение также распознает наличие в адресной строке паникода и сигнализирует об этом пользователю путем выдачистраницы с предупреждением. С учетом того, что большинство современных браузеров распознают паникод и отображают его в формате юникода и для упрощения работы расширения оно распознает и сигнализирует о наличии в домене самого популярного алфавита, используемого для атак с применением паникода - кириллического.
5. распознавание копий.
Расширение проводит анализ контента сайта путем сравнения метаданных кода страницы с данными адресной строки.
Данная функция применяется в случае, когда в адресной строке отсутствует количество символов в имени узла слишком мало (менее или равно 5), при анализе мутаций таких сайтов возможно не обнаружить очевидного сходства с настоящим сайтом или, напротив, количество предположительно оригинальных сайтов будет слишком велико. применение данного правила обосновывается тем, что создатели поддельного сайта в коде страницы ссылаются на ресурсы оригинального сайта, как правило это ссылки на изображение фавикон и OpenGraph.
6. анонимность
Одной из актуальных проблем применения браузерных расширений является обеспечение анонимности пользователя. В случае защиты от фишинговых атак возникает проблема транслирования всех ссылок на сайты, по которым переходит пользователь, на сервер.
Так, в 2016 году немецким исследователем на новостном сайте PCWorld [42] было опубликовано расследование, доказавшее, что разработчики популярного расширения WebofTrust, собирали историю посещения сайтов и продавали информацию о пользователях, не обезличив ее предварительно. В 2018 году известность получила хакерская группировка StolenPencil, использовавшая браузерные расширения для кражи паролей и куки [45].
...Подобные документы
Описание и предназначение протокола DNS. Использование файла host. Особенности и описание способов атак на DNS: ложный DNS-сервер, простой DNS-флуд, фишинг, атака посредством отраженных DNS-запросов. Защита и противодействие атакам на протокол DNS.
реферат [324,3 K], добавлен 15.12.2014Алгоритмы работы протокола STP. Статусы портов в протоколе SpanningTree. Виды, описание протоколов, агрегация каналов. Схемы возможных атак, способы обнаружения. Слияние-расхождение деревьев, локализованный отказ в обслуживании, спровоцированный сниффинг.
курсовая работа [86,8 K], добавлен 07.04.2015Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.
курсовая работа [53,6 K], добавлен 16.03.2015Методы обнаружения атак на сетевом и системном уровнях. Административные методы защиты от различных видов удаленных атак. Уведомления о взломе. Ответные действия после вторжения. Рекомендации по сохранению информации и контроль над ней в сети Internet.
курсовая работа [36,0 K], добавлен 21.01.2011Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.
контрольная работа [513,3 K], добавлен 17.01.2015Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.
дипломная работа [7,7 M], добавлен 21.06.2011Описание информационных технологий и модель угроз. Средства защиты периметра сети, межсетевые экраны. Системы обнаружения вторжений, их классификация по уровням информационной системы. Подходы к автоматическому отражению атак и предотвращению вторжений.
дипломная работа [2,0 M], добавлен 05.06.2011Способы и средства защиты информации от несанкционированного доступа. Особенности защиты информации в компьютерных сетях. Криптографическая защита и электронная цифровая подпись. Методы защиты информации от компьютерных вирусов и от хакерских атак.
реферат [30,8 K], добавлен 23.10.2011Обзор известных методов обеспечения безопасности Web-транзакций. Протокол SSL/TLS как эффективный метод обеспечения их защищенности. Анализ и моделирование существующих атак на протокол SSL/TLS. Особенности защиты сети "клиент-сервер" от такого рода атак.
дипломная работа [2,6 M], добавлен 05.06.2011Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011Исследование наиболее распространенных видов сетевых атак. Сетевая разведка. Характеристика способов защиты от сетевых атак с использованием специальных программ. Изучение преимуществ и недостатков сетевых экранов. Переполнение буфера. Вирусные программы.
реферат [329,2 K], добавлен 23.12.2014Основные методы атак на информацию и способы защиты от компьютерных злоумышленников. Системы и технологии информационной безопасности, определение угроз и управление рисками. Понятие криптосистемы, построение антивирусной защиты и работа брандмауэров.
курсовая работа [52,5 K], добавлен 31.08.2010Графические интерфейсы и расширения для DOS. История развития операционной системы Microsoft Windows. Новшества ее современных версий: пользовательский интерфейс, языковая интеграция, системы защиты. Хронология развития и архитектура системы GNU/Linux.
реферат [38,9 K], добавлен 25.10.2010Методы противодействия сетевым атакам. Алгоритм действия на сетевом уровне. Методы осуществления парольных атак. Атаки типа Man-in-the-Middle. Сетевая разведка, несанкционированный доступ. Переадресация портов. Вирусы и приложения типа "троянский конь".
курсовая работа [110,1 K], добавлен 20.04.2015Игровой движок Unity, его использование для создания приложений, связанных с архитектурой, обучением, визуализацией данных и электронными книгами. Разработка системы освещения для работы с двухмерными объектами в виде расширения редактора Unity.
дипломная работа [2,5 M], добавлен 11.02.2017Организация локальной сети на основе Windows Server 2008. Выбор сетевой архитектуры, маршрутизатора для доступа в Internet. Характеристика программного обеспечения, выбранного в качестве сетевого экрана для защиты информации от внешних атак и вирусов.
курсовая работа [166,8 K], добавлен 07.05.2015Анализ современных информационно-вычислительных сетей предприятия. Построение модели незащищенной информационно-вычислительной сети предприятия. Виды удаленных и локальные атак. Анализ сетевого трафика. Методы защиты информационно-вычислительной сети.
курсовая работа [640,2 K], добавлен 26.06.2011Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.
курсовая работа [508,3 K], добавлен 04.11.2014Особенности функционирования антивирусных программ при работе в сети, классификация и разнообразие способов защиты пользователя и компьютера от различных вирусных атак. Использование структурированных кабельных систем и информационная безопасность.
курсовая работа [875,6 K], добавлен 09.03.2015Структура и свойства незащищенной сети, формирование требований защиты: выявление угроз безопасности и сетевых атак на данную систему. Технологии VPN: классификация, построение, методы реализации. Настройка фильтров координатора в сети с Proxy-серверами.
курсовая работа [297,5 K], добавлен 03.07.2011