Главная » Хабрахабр » [Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 23: «Экономика безопасности», часть 3

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 23: «Экономика безопасности», часть 3

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год

Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3
Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3
Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3
Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3
Лекция 16: «Атаки через побочный канал» Часть 1 / Часть 2 / Часть 3
Лекция 17: «Аутентификация пользователя» Часть 1 / Часть 2 / Часть 3
Лекция 18: «Частный просмотр интернета» Часть 1 / Часть 2 / Часть 3
Лекция 19: «Анонимные сети» Часть 1 / Часть 2 / Часть 3
Лекция 20: «Безопасность мобильных телефонов» Часть 1 / Часть 2 / Часть 3
Лекция 21: «Отслеживание данных» Часть 1 / Часть 2 / Часть 3
Лекция 22: «Информационная безопасность MIT» Часть 1 / Часть 2 / Часть 3
Лекция 23: «Экономика безопасности» Часть 1 / Часть 2

Авторы заметили, что существует ограниченное количество регистраторов доменных имён для партнёрских программ. В лекционной статье говорится о различных стратегиях ответного удара, способных остановить спамера. Очень редко, когда один регистратор доменных имен связан с кучей разных партнёрских программ. Это означает, что большинство аффилированных партнёров индивидуально связаны с регистратором, который занимается их доменными именами и инфраструктурой.

Аналогичная схема действует в отношении таких вещей, как веб-серверы. Это означает, что не существует общего центра, общего регистратора, нанеся удар по которому можно было бы вывести из строя всю инфраструктуру спама. Этот бизнес имеет распределённую природу, поэтому очень трудно сказать, что если мы «возьмём» вот этих 3-х провайдеров, то вся экосистема спама будет разрушена. Редко когда один ISP провайдер владеет кучей веб-серверов с кучей партнерских программ.

Позже мы увидим, что это может сработать по отношению к некоторым теневым банковским схемам, так что, возможно, нам всё же удастся надавить на спамера. Поэтому жаль, что не существует единого сервера, по которому можно было бы нанести удар, чтобы прекратить рассылку спама.

Фаза реализации состоит из двух частей.
Пользователь платит за любые товары, которые покупает или хочет купить, а затем, надеюсь, получает эти товары либо по почте, как в случае покупки поддельных лекарств, либо скачивает из интернета, если хочет получить пиратский Photoshop или что-то подобное. Давайте вернёмся к рассмотрению стадии реализации спама и посмотрим, что происходит после того, как вы, пользователь, решили что-то купить.

Клиент обращается к продавцу и говорит ему, что хочет что-либо купить. Денежный поток выглядит примерно так. Это важный посредник, который помогает продавцу, спамеру, разобраться с некоторыми тонкостями взаимодействия с системой кредитных карт. Он отправляет информацию о кредитной карте, после чего продавец общается с обработчиком платежей Payment processor. Обработчик платежей связывается с обслуживающим банком.

Он связывается с тем, что в статье называют «ассоциированной сетью», но мы будем думать о ней просто как о платёжной системе Visa или MasterCard, так что это просто сети кредитных карт. Обслуживающий банк осуществляет все операции, связанные с выполнением расчетов и платежей по банковским картам.

По сути, они запрашивают информацию, является ли данная сделка законной, то есть происходит с согласия владельца карты. Наконец эти Association network, или карточные сети, общаются с банком-эмитентом покупателя. Вот так выглядит сквозной финансовый поток операций. Если это так, деньги проходят через всю эту систему и поступают продавцу. Одна из статей, упомянутых в лекционном материале, говорит, что один партнер может получить более $10 млн. Этот рабочий процесс может обрабатывать большие деньги. Возникает вопрос, почему банк-эквайер или банк-эмитент не сообщат, что здесь что-то не так? долларов в результате такой сделки. Как выясняется, в многих случаях они действительно ничего не сообщают.

Например, почему спамеры правильно классифицируют свои сделки? Интересно, почему финансовая система терпимо относится к подобным процессам. Можно предположить, что спамер, торгующий поддельными витаминами, не захочет указать, что занимается фармацевтическим бизнесом. Когда вы хотите отправить что-то через эту систему, вы должны правильно обозначить тип проводимой транзакции, указав, что продаёте фармацевтику, программное обеспечение, что угодно, это неважно. Причина в том, что за неверную классификацию могут присудить высокий штраф. Однако интересно, что спамеры в большинстве случаев правильно классифицируют сделки.

Но они не хотят, чтобы их обвинили в отмывании денег или попытке обмануть власти. Поэтому ассоциированные сети типа Visa или Mastercard считают, что с такими сделками всё в порядке, даже если они выглядят немного подозрительно. Потому что всегда можно сказать властям, что вы немного не поняли закон, но, по крайней мере, не пытались скрыть цель этой транзакции. Пока вы правильно классифицируете то, что делаете, то вы в определенном смысле защищаете себя. Таким образом, часто спамеры правильно классифицируют свои транзакции, то есть определённой мерой играют в рамках системы.

Предположительно, если ты спамер, значит, ты преступник, верно? Еще один вопрос, о котором я упоминал ранее — зачем спамеру отправлять что-либо покупателям? Выясняется, что они на самом деле отправляют вещи покупателям, потому что не хотят нарываться на высокие штрафы. Так почему бы просто не собрать у народа деньги и не сбежать вместе с ними? Это очень интересная система, в которой спамеры хотят что-то делать законно, и пока они еще не могут использовать биткойны, фактически должны работать в пределах ограничений уже существующей системы.

Возвратный платеж означает, что клиент заявляет финансовой компании, что не получил оплаченный товар или качество полученного товара его не устраивает. Высокие штрафы присуждаются и за то, если спамер имеет много возвратных платежей. Поэтому процент возвратных платежей при спамерских сделках довольно мал. Поэтому если у спамера слишком много клиентов, требующих возврата платежей, с него взимаются очень и очень высокие штрафы. Так что спамеры действительно заинтересованы избегать штрафов в обоих приведённых выше случаях. Дело в том, что конверсионные курсы их прибылей супер низкие, так что даже один или два штрафа могут уничтожить всю месячную прибыль.

Аудитория: способствует ли использование PayPal более скрытым отношениям с банком?

PayPal во многих отношениях очень похож на Visa или MasterCard. Профессор: и да, и нет. Думаю, что на некоторые вещи Visa имеет более строгие ограничения, о которых мы поговорим через секунду. Его деятельность регулируется похожими правилами, потому что у этих платёжных систем одни и те же виды рисков. Но как платежная система, Paypal преследует похожие цели.

Или сообщаете о том, что спамеры неправильно классифицируют сделки, чтобы их оштрафовали? Аудитория: есть ли идея организовать группу, в которой вы создаёте учетную запись, а затем намеренно идёте на сайт спамера, покупаете кучу вещей, после чего оформляете возвратные платежи, чтобы с него взыскали штраф?

Профессор: интересная идея, прямо как линчеватели!

Аудитория: ну да, спам спамеров.

Я знаю, что спамеры пытаются обнаружить людей, которые их троллят. Профессор: да, именно так, но я о таком никогда не слышал. Они получили кучу спам-сообщений, прошли по куче ссылок, оформили специальную карту Visa, которую использовали для покупки этих вещей, и так далее. В статье говорится, как авторы определяли спамеров. Однако спамеры стремятся предотвратить тестовые покупки тех людей, которые пытаются выяснить, что происходит. Они называют это «тестовые покупки». Они могут попросить вас прислать фотографию удостоверения личности или что-то в этом роде. Поэтому некоторые спамеры требуют от вас подтвердить свою личность, прежде чем что-то вам продать. Теперь у спамеров возникают проблемы, потому что люди, нажимающие на спам-ссылки, не хотят отправлять скан своего удостоверения личности какому-то случайному человеку. Некоторые люди стали это делать после того, как Visa ужесточила правила, касающиеся спама. Странно, что люди бояться высылать спамерам сканы документов, но не опасаются сообщать им номера своих кредитных карт. В статье приводятся выдержки из переписки спамеров на форуме, где они жалуются на то, что Visa их достала – они вынуждены просить людей выслать им подтверждение личности, но те не хотят этого делать. В любом случае, спамеры заинтересованы в том, чтобы вовремя обнаружить людей, пытающихся вывести их на чистую воду.

Аудитория: что касается возвратных платежей – возможно, если люди не хотят, чтобы их банк знал, что они покупают нелегальные вещи, то они постесняются потребовать возврата денег, даже если не получили товар?

Я не знаю, какая часть людей, купивших всякие БАДы, были ими разочарованы и сообщили об этом своему банку. Профессор: хороший вопрос. Интересно, что банк в первую очередь должен знать, куда направляет деньги, но думаю, вам не нужно разглашать ему какую-то дополнительную информацию о сделке, чтобы оформить возврат денег.

Аудитория: какой примерно процент возвратных платежей вызывает у спамера беспокойство?

Другими словами, если вы спамер и у вас более 1% транзакций требуют возвратный платёж, это повод для беспокойства. Профессор: называют цифры порядка 1% от всех транзакций. Меня не удивили бы более низкие цифры, но я слышал именно об одном проценте.

То есть люди прошли по ссылкам, выслали деньги и ничего не получили. Как я уже сказал, для меня это была одна из самых интересных частей статьи, потому что я всегда считал, что обязательным свойством спама является открытое мошенничество. Но как оказалось, спамеры должны пройти через всю эту сеть, которая имеет механизмы для предотвращения мошенничества, и в конечном итоге они вынуждены отправлять вещи покупателям.

Это означает, что если спамер получает много возвратных платежей, или создаёт проблемы с банковскими операциями и кредитными картами, то какой-то банк может разорвать с ним отношения. Еще одна причина, по которой спамеры предпочитают действовать аккуратно, правильно классифицировать транзакции и на самом деле отправлять вещи клиентам, является то, что лишь несколько банков готовы сотрудничать со спамерами. При этом остается не так много других банков, которые согласны пойти навстречу спамеру, чтобы он продолжил заниматься своими «шалостями».

На самом деле это очень малое количество банков. Исследования этой темы показали, что существует всего около 30 банков-эквайеров, услугами которых спамеры пользовались более двух лет. Мы обсудили, что такие вещи, как ботнет, предоставляют спамерам множество IP-адресов, существует достаточно провайдеров, готовых запустить для них веб-серверы и так далее, но число обслуживающих банков на самом деле кажется маленьким. Так что дефицит банков служит стимулом не дурить с финансовой системой, потому что спамеру просто не к кому будет обратиться, если он нарушит установившиеся партнерские отношения.
Таким образом, кажется, что требования строго соблюдать финансовые правила может сократить спам. Так что, может быть, мы действительно можем атаковать спам именно здесь.

Например, если вы используете спам-сообщения, чтобы продавать, предположим, сахар, в этом нет ничего незаконного, потому что продажа сахара не нарушает никаких законов. Но, как я уже говорил, это сложно сделать из-за того, что трудно доказать сам факт незаконности спамерской деятельности. Вы можете каким-то образом обмануть покупателя в процессе продажи, но сама по себе продажа сахара не является противоправной деятельностью.

Для таких вещей, как пиратское программное обеспечение, законодательство более четко очерчивает рамки законности. Как выясняется, много спама попадает в эту «серую область», где вещи, которые делают спамеры, могут быть неприятными, но при этом не обязательно нарушать закон. Зачастую бывает очень трудно доказать связь этих звеньев цепочки распространения спама. Однако вы не можете просто указать на один из этих банков и сказать: «привет, ваши клиенты – это преступники!», потому что это не всегда верно, особенно если отсутствуют чёткие бумажные доказательства, которые связывают финансовую транзакцию с URL-адресом спамера, который является источником происхождения этой транзакции.

После этого ассоциации платежных систем Visa и MasterCard задались вопросом, что они могут сделать, чтобы отсечь часть спама. С тех пор, как была опубликована рассматриваемая нами статья, отрасль кредитных карт предприняла некоторые ответные действия, потому что эта статья в момент своего выхода произвела довольно большой фурор. Интересно, что после публикации статьи некоторые фармацевтические компании и поставщики программного обеспечения подали жалобы на Visa.

Если вы помните из статьи, Visa была ассоциированной сетью, через которую исследователи спама совершали пробные, или фиктивные покупки, поэтому некоторые компании посчитали, что Visa может использоваться в качестве системы финансирования деятельности спамеров и решили на неё пожаловаться.

Например, сейчас все сделки с фармацевтической продукцией Visa помечает как высокорисковые продажи. В ответ на эти жалобы Visa внесла некоторые изменения в свою платёжную политику. Это означает, что если банк выступает в качестве эквайера по этим сделкам, то Visa установит для него более жесткие условия транзакции, например, потребует, чтобы банк участвовал в программе управления рисками либо станет его чаще проверять.

Теперь они недвусмысленно определили список и запретили незаконную продажу лекарственных средств и товаров, находящихся под охраной зарегистрированных товарных знаков. Visa также изменила внутренний регламент.

Ещё раз повторю – существует ещё много спама, находящегося в «серой области», причём это не обязательно незаконно. Это помогает ввести более агрессивные штрафы против банков и торговцев, которые, по мнению данной платёжной системы, участвуют в незаконной продаже лекарств, часов поддельных марок и так далее. Но теперь Visa может оказывать на людей более сильное воздействие. Просто от клиентов требуется использовать определённые приёмы.

Чтобы избежать фальшивых покупок, которыми занимаются не только исследователи спама, но и ассоциированные сети, спамеры стали требовать от покупателей сканы удостоверения личности, и это, как правило, не очень хорошо.

Приятно видеть, что эта статья оказала большое воздействие на реальную жизнь. По крайней мере, через несколько лет после того, как платежные системы внесли изменения в правила совершения сделок, это оказало влияние.

Чтобы понять, как работают некоторые из банковских механизмов, исследователям на самом деле пришлось совершать покупки. Ещё одна интересная вещь, которая упомянута в статье – это этические аспекты проведения исследований безопасности, в частности, исследования цепочки спама. Авторы пишут, что уничтожили всё, что купили, ничем не пользуясь, и разговаривали с компаниями-разработчиками по поводу покупки пиратских версий их ПО, перед тем, как его купить. Они должны были заплатить спамеру за эти товары.

Потому что если вы хотите сделать что-то, что включает в себя исследования личности, всё, что может иметь этические аспекты, вы должны получить разрешение юристов из Комиссии по этической оценке исследовательских проектов IRB и тому подобное. На самом деле происхождение таких вещей имеет большое значение, особенно в университетской среде. Это тоже интересная часть лекционных материалов, потому что мы уже обсуждали, насколько этично разрабатывать эксплойты нулевого дня, если вы знаете, что они не могут быть кем-то исправлены? Для исследователей очень важно быть уверенными, что своими действиями они не поддержат злоумышленников в каком-то отдаленном уголке мира. Так что это действительно интересный аспект исследования безопасности.

Потому что в статье написано, что IRB в этом не заинтересована. Аудитория: есть ли какой-либо надзор над этикой безопасности?

Они утверждают, что IRB не была заинтересована, я думаю, потому что в этих исследованиях не было очевидного человеческого субъекта. Профессор: да, это было очень интересно. В статье они выражают признательность различным людям и организациям, которые оказали помощь в проведении исследований. Однако в отношении большинства университетов нельзя просто сказать, что там нет прямого человеческого субъекта, поэтому просто позвольте мне купить кое-что из спам-ссылки. Я знаю, что IRB каждого университета проводит немного различную политику в отношении того, что можно и что нельзя делать, так что я не думаю, что существует некая общая политика. Я не думаю, что существует некий американский стандарт для этого типа исследований.

Аудитория: если учесть, что отслеживалось 350 миллионов спам-адресов, и всего 28 связались со спамерами, существует ли вероятность того, что значительное число из этих 28 составляли исследователи, изучавшие цепочку спама?

Потому что если вы подумаете о том, насколько весёлая вещь эта статистика, где прибавление 5 или отнимание пяти в действительности будет влиять на то, сможет ли спамер сделать своим детям настоящий подарок или подарить им кусочек угля, потому что удачных покупок было так мало.
Что касается конкретного количества людей, попавшихся спамеру на крючок, то я не знаю, сколько из них были исследователями. Профессор: думаю, что эти результаты послужили одной из причин, почему авторы приложили столько усилий, чтобы защитить себя от обвинений в необъективности. И поэтому, если бы они могли найти какой-то баланс, при котором исследователи могут тестировать покупку товаров, не влияя на общее количество продаж, это было бы для спамеров просто замечательно, потому что главное для них – это получить деньги, всё равно, с кого. Но я думаю, что в целом, как я уже сказал, спамеры просто хотят взять ваши деньги.

Поэтому спамеры заинтересованы в прекращении таких исследований. Сложность в том, что предположим, было совершено 35 покупок, из которых половину сделали исследователи, в результате чего люди оказали давление на банки, после чего спамеры вместо 35 продаж совершили всего 2 — вот такого они не хотят.

Я уверен, что для спамера не составляет никакой проблемы разослать 350 миллионов спам-сообщений. Аудитория: сколько из этих 350 миллионов сообщений фильтруется?

Я думаю, что существует рынок для целенаправленного осуществления подобных вещей. Профессор: все дело в анализе затрат и выгод с точки зрения спамера. Например, спам, ориентированный на предпочтения определённой социальной группы, предположим, группы последователей Далай-Ламы. В частности, при этом очень полезными становятся взломанные аккаунты электронной почты, потому что спамеры более склонны к воздействию на целевую аудиторию и рассматривают сфокусированные спам-письма как сулящие более высокую прибыль.

Аудитория: было бы интересно, если бы существовала компания, разыскивающая доверчивых бабушек, чтобы вставлять спам в их письма.

Последнее, про что я хотел бы рассказать, это про компании, которые взяли на себя ответственность делать вещи, которые они называют hackback, или «ответный взлом». Профессор: я не удивлюсь, если такие вещи существуют, но я об этом не знаю. Идея заключается в том, что если вы банк и кто-то пытается вас взломать и украсть информацию, то вы сами находите этих хакеров и поступаете с ними аналогичным образом.

На сегодня это более распространено, чем раньше. Например, в ответ на их атаку вы пытаетесь отключить им ботнет, или украсть их информацию, или сделать нечто подобное. Например, в 2013 году существовала огромная сеть ботнет для распространения пиратского программного обеспечения и поддельных товаров, поэтому для принятия контрмер образовалась огромная коалиция компаний Microsoft, American Express, Paypal, многие из которых запустили операцию по уничтожению ботнета. Одна из причин – это то, что правовая система медленно адаптируется к некоторым современным угрозам, и банкам или финансовым учреждениям надоело ждать от неё действенных мер. Они притаились на некоторое время и узнали о том, где находится инфраструктура Command & Control. Фактически они собственными силами, не прибегая к помощи правительственных структур, уничтожили пиратский ботнет. Затем они захватили её, определили, где находятся все боты конечных пользователей и разослали сообщения, в которых уведомляли пользователей о необходимости «пропатчить» их компьютеры.

Например, юристы Microsoft заявили, что эти сети ботнет нарушают правила использования торговой марки Microsoft. Этот пример очень интересен с точки зрения пересечения интересов компьютерной безопасности и законов, потому что некоторые разделы законов США дают право компаниям совершать подобные действия.

В этом смысле происходит некий переворот логики, но суд это разрешил. К примеру, если вы продаете пиратские копии Windows и утверждаете, что это именно Windows, не получив право распоряжаться этими копиями на законных основаниях, и вы не можете легализовать источники их происхождения, то Microsoft заявляет о нарушении права на торговую марку и о своём ответном праве взломать вашу сеть ботнет. Поскольку банкиры заботятся о деньгах, то очень расстраиваются, когда их теряют. И подобное происходит все чаще и чаще.
Больше всего такое положение вещей растаивает банки, потому что они отмечают некое государственное спонсирование взлома банковских систем.

Поэтому интересно посмотреть, как бремя обеспечения кибербезопасности, в частности, наступательные операции, отходят к частному сектору, ведь долгосрочные последствия такого решения кажутся не совсем ясными.

На этом всё, думаю, что мы увидимся с вами в среду на рассмотрении ваших презентационных проектов по итогам этого курса лекций.

Полная версия курса доступна здесь.

Вам нравятся наши статьи? Спасибо, что остаётесь с нами. Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? Хотите видеть больше интересных материалов? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps до января бесплатно при оплате на срок от полугода, заказать можно тут.

класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки? Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Тест: подходит ли тебе удаленка (не фриланс!)?

Эта статья для тех, кто задумывается, стоит ли пробовать удаленную работу, и взвешивает риски: стиль жизни существенно поменяется, мало ли, что пойдет не так, а вернуться обратно будет непросто. Я не буду преподносить удаленку как райское наслаждение на пляжике под ...

Кипр — минутка мягкого психодела

Фламинго в Ларнаке на Кипре. Поселение, кстати, по-нашему будет «Гробово», потому что «ларнака» — это саркофаг, а их тут в окрестностях нашли немало. Так город и назвали. Здесь тепло, приятно, рядом море, вокруг солнце, небо — ну как в таких ...