Каковы признаки серьезной информационной атаки и как защититься от таких атак?

Однако в одном они сходятся во мнениях: когда речь идет о безопасности сети, защитить все вычислительные ресурсы все время невозможно.

Защита корпоративной сети от злонамеренного проникновения — это балансирование приоритетов, сосредоточение внимания и усилий (а также имеющихся ресурсов) на наиболее важных для вашего предприятия сервисах. Одна из главных задач, которую администратору сети приходится решать в этой информационной войне, — как выявить безобидные проникновения, чтобы он мог сосредоточиться на защите от потенциально опасных угроз.

В наше время корпоративные серверы и настольные системы имеют гораздо лучшую защиту, чем в начале 90-х, так как разработчики систем и приложений уделяют повышенное внимание общеизвестным дырам. Еще более обнадеживающий факт, что обнаружение проникновений получило признание в качестве отдельного направления исследований в более широкой области информационной защиты, а несколько разработчиков выпускают эффективные системы обнаружения проникновений (Intrusion Detection System, IDS). В США в 1998 году компании потратили на IDS свыше 100 млн долларов.

Однако не все так радужно: с потенциальным ростом Internet Сеть превратилась в благодатную почву для новых изобретательных типов атак, о которых поставщики IDS могли ничего не знать. Как и в случае других компонентов защиты сети, предотвращение проникновений — это не вопрос возведения крепостных стен, а скорее замены камней в стене при их разрушении.

Даже наиболее совершенные инструменты обнаружения не в состоянии заменить анализ человеком признаков вторжения, потому что автоматические инструменты обладают ограниченной способностью коррелировать данные о различных происшествиях (с разными типами сетевых ресурсов). Цель их применения состоит, таким образом, в том, что они позволяют отфильтровать шум, чтобы администратор мог сосредоточиться на серьезных атаках.

В этой статье я попытаюсь прояснить некоторые заблуждения по поводу хакеров и защиты, а также дать советы о том, как защититься от серьезных атак и как не стать потенциальной жертвой. Я также опишу четыре типа хакеров и укажу ресурсы, где можно найти информацию об уязвимых местах.

ЧИСТЫЙ ВОЗДУХ

Прежде чем давать советы о том, как реагировать на инцидент, я бы хотел развеять несколько заблуждений, способных навлечь на вас неприятности.

Первое заблуждение состоит в вере в то, что целью оказываются только компании из домена .com. Ваш основной бизнес может не иметь ничего общего с продажей корма для домашних животных через Internet, но в наше время трудно найти компанию, не присутствующую в Internet, даже если пока она ограничивается лишь регистрацией своего имени в качестве домена Internet.

Обычно компании предоставляют DNS весьма скудную информацию о своих системах, но даже простой поиск по имени позволяет выявить важные детали относительно общедоступных серверов. Если хотя бы одно письмо из вашего доена передавалось через Internet, то вам следует прочитать оставшуюся часть статьи.

Второе заблуждение состоит в том, что хакеры предпочитают взламывать системы UNIX. Internet охватывает миллионы настольных систем, и большинство из них работает под управлением Windows, а эта ОС известна своей уязвимостью к злонамеренным проникновениям и вмешательствам. Получивший широкую известность вирус Melissa — всего лишь один из сотни, обнаруженных в прошлом году, а проникновение с помощью «троянских коней» (см. врезку «Бойтесь хакеров, дары приносящих») превратилось в наиболее популярный метод получения контроля над ПК на базе Windows.

Третье заблуждение состоит в том, что наличие IDS и протоколирование всех действий гарантируют вам безопасность. Большинство установленных в настоящее время IDS асинхронны по своей природе, т. е. обнаружение инцидентов и их регистрация в журнальном файле производятся в соответствии с предопределенным набором штампов атак.

Одна из потенциальных проблем с таким подходом состоит в том, что опытный злоумышленник может легко замести свои следы посредством изменения этих журналов. Другая проблема в том, что чем больше информации вы пытаетесь собрать, тем больше вероятность пропустить единичные важные проиcшествия.

К слову, я бы советовал с большой настороженностью относиться к экспертам в области защиты, заявляющим, что их сети ни разу не были успешно атакованы. Это на самом деле означает, что атака прошла незамеченной. Учитывая невысокую вероятность того, что они никогда не становились целью злоумышленника, подобные утверждения вызывают закономерные сомнения в предлагаемых ими IDS.

ОЦЕНКА ОПАСНОСТИ И РЕАКЦИЯ НА ИНЦИДЕНТЫ

Если IDS обнаруживает признаки возможной атаки, то что вам следует делать? Например, если вы установите, что некоторые общие сетевые ресурсы недоступны и удаленных пользователей невозможно идентифицировать, то что это — действительно атака или просто обычный сбой? Во всяком случае решать надо быстро. Ниже я привожу простую последовательность действий для оценки опасности атаки.

Во-первых, временно отключите систему(-ы) от сети. Для проверки вам потребуется контролируемая среда. В противном случае если злоумышленник в данный момент работает в системе, то он может попытаться противодействовать вашим попыткам определить степень ущерба.

Во-вторых, скопируйте все протокольные файлы на автономную систему. Эти меры касаются журналов IDS и журналов событий (на системах Windows NT) или системных журналов (на системах UNIX). Злоумышленник мог оставить после себя плановое задание на удаление всех журнальных файлов для сокрытия своих следов.

Далее, определите, когда к привилегированному бюджету обращались последний раз (к Administrator в NT или к root в UNIX). Сравните эту дату с той, что записана в журналах системных администраторов. Кроме того, изучите записи истории команд для данного бюджета.

Установите даты последних модификаций «статичных» системных утилит. Кто-то пытался изменить passwd или su? Если у вас хранятся контрольные суммы для этих утилит, то самое время сравнить их с текущим значением.

Имеются ли копии системных утилит в пользовательских каталогах? На машине под UNIX запустите команду find и проведите поиск двоичных файлов, таких, как passwd или su, в пользовательских разделах. При обнаружении таковых запишите имя пользователя, размер файла, контрольную сумму и дату последнего изменения. Сравните их с исходными утилитами в /sbin или /usr/sbin.

Проверьте, не изменялись ли недавно файлы паролей и файлы полномочий пользователей. Особое внимание следует обращать на необычные добавления или удаления, а также на изменение идентификаторов групп или пользователей.

Затем просмотрите таблицы процессов для выявления необычных активных заданий. При обнаружении подозрительного процесса, запишите имя владельца процесса, его размер и длительность выполнения. Определите с помощью таких инструментов, как lsof, используемые им ресурсы (файлы, каналы и т. д.).

Далее просканируйте хост на предмет выявления всех открытых сервисов TCP/UDP. Обратите внимание на сетевые демоны, так как злоумышленник мог ввести их в качестве «троянского коня». Найдите исполняемый файл и проанализируйте его.

Наконец, ведите подробную запись всех своих действий. Записывайте все свои находки на листе бумаги, в том числе даты, время, имена хостов и пользователей, а также имена работающих в сети. Вы удивитесь, как быстро все забывается, как только поднятая пыль укладывается.

ЧТЕНИЕ СЛЕДОВ

Вы один, а (потенциальных) злоумышленников — миллионы. Важно знать, как реагировать на инцидент, но важно также идентифицировать злоумышленников. Ответы на следующие вопросы помогут вам кое-что узнать о злоумышленниках. (Классификацию злоумышленников можно найти во врезке «Хакеры в профиль и анфас».)

Предпринимает ли злоумышленник повторные попытки? В случае неудачи попытки доступа к серверу случайные злоумышленники оставят вас в покое. С другой стороны, опытные злоумышленники постараются собрать информацию о сервере с тем, чтобы вернуться позже и попытаться использовать другие слабости. Например, в один прекрасный день при просмотре журналов IDS вы обращаете внимание на то, что кто-то сканирует ваш почтовый сервер в поисках открытых портов TCP и UDP. Двумя днями позже IP-адрес злоумышленника всплывает вновь, но на этот раз злоумышленник нацеливается на открытые порты. Несколько часов спустя он вводит последовательность команд SMTP через порт 25.

Не делает ли злоумышленник очевидных ошибок? Каждое нажатие клавиш во время атаки дает ценную информацию об опыте атакующего. Серьезный хакер не позволит себе терять драгоценное время на синтаксические ошибки и метод проб и ошибок. Попытка ввести команды SMTP через порт NNTP служит ясным свидетельством неопытности атакующего.

Предпринимает ли злоумышленник попытки атаки в разное время в течение дня? Картина доступа может дать важные сведения о злоумышленнике, такие, как географическое местонахождение, профессия и возраст. Большинство случайных атакующих, живущих в восточной части США, осуществляют свои попытки между 9 часами вечера и 1 часом ночи. Если попытки проникновения имеют место по будним дням с 9 утра до 5 вечера, то наверняка они производятся с рабочего места.

Пытается ли злоумышленник скрыть свои следы? Имели ли место случаи, когда при проверке системных журналов событий вы обнаруживали, что все записи за последние 12 часов пропали? Когда-либо замечали, что файл истории команд для бюджета root таинственно исчез? Это признаки опытного атакующего, он озаботился удалением всех свидетельств своих действий, не опасаясь, что это приведет к подаче IDC тревожного сигнала. Такое поведение аналогично действиям грабителя, поджигающего дом перед тем, как бежать оттуда с награбленными ценностями.

Одно из возможных решений — запись протокольной информации более чем в одно место и желательно на съемный носитель. Ротацию журнальных дисков следует запланировать на то же время, что и ротацию лент для резервного копирования.

КАК ИЗБЕЖАТЬ ВТОРЖЕНИЯ

Теперь вы в общих чертах знаете, как поступать в случае проникновения, но как сделать так, чтобы вообще не подвергаться атаке? Ряд простых мер помогут вам минимизировать риск сетевой атаки.

Одна из таких мер — защита от подделки IP-адресов. Подделка IP-адресов — один из самых простых и вместе с тем самых успешных методов проникновения. Большинство из установленных в настоящее время устройств для защиты сети по периметру работают по принципу фильтрации пакетов, когда шлюз защиты принимает решение о предоставлении или запрете доступа для внешнего пользователя на основании адреса отправителя. Как неявно предполагается, атакующий не может изменить заголовок пакеты, но в действительности пакеты IP легко подделать, в результате они выглядят как поступившие из разрешенного источника.

В целях исправления этого недостатка следующая версия IP (IPv6) вводит механизм криптографической идентификации заголовка пакета (IPSec AH). Сегодня имеется несколько вполне зрелых (хотя и не до конца совместимых) реализаций IPSec.

Другая простая мера защиты — хранить в тайне информацию о внутренней конфигурации сети: знание о том, что находится за брандмауэром, служит обычно хорошим стимулом для случайного атакующего. Кроме того, раскрывая схему сети, вы тем самым можете раскрыть слабые места ее архитектуры, о которых сами даже не подозреваете.

Кроме того, если уж зашла об этом речь, не афишируйте, какого типа IDS у вас используется. Первый шаг атакующего при подготовке атаки состоит в сборе информации об используемых механизмах защиты. Не облегчайте задачу злоумышленника, выдавая ему жизненно важную информацию.

Другая полезная мера — диверсификация сетевых платформ. Когда поставщик X заявит, что он обнаружил огромную дыру в реализации SMTP, вам останется только радоваться, что ваш вспомогательный почтовый сервер реализован на базе архитектуры поставщика Y. В деле защиты, как и в любом другом виде деятельности, класть все яйца в одну корзину не стоит.

Если пользовательский бюджет не используется, то его следует аннулировать. Во многих случаях злоумышленник получает доступ к привилегированному бюджету под маской пользователя, чей бюджет какое-то время не использовался. Во избежание такого рода незаконного захвата политику защиты надо изменить таким образом, чтобы неиспользуемые бюджеты автоматически блокировались и в конечном итоге удалялись.

Хороший внешний аудит — еще одно важное средство в борьбе против злонамеренных проникновений. Такой аудит должен выполняться опытным специалистом в области защиты после его ознакомления с вашей политикой защиты (также важная мера) и конфигурацией сети. Результатом аудита должен стать подробный отчет с указанием конкретных обнаруженных уязвимых мест.

Я советую воздержаться от соблазна нанять «добропорядочного хакера», чтобы он попытался взломать вашу систему. Акцент должен быть сделан на общую подробную оценку, а не на одну конкретную область, в которой этот хакер является специалистом.

Наконец, сотрудников необходимо научить выявлять атаки с применением методов социального инжиниринга. Простой поиск по базе данных DNS, поддерживаемой InterNIC (http://www.networksolutions.com), позволяет без труда обнаружить имя и номер телефона лица, ответственного за вашу сеть.

Один простой телефонный звонок к перегруженному делами сетевому администратору может позволить атакующему собрать весьма ценную внутреннюю информацию. Он может представиться сотрудником службы технической поддержки провайдера Internet или производителя, пытающимся диагностировать ваше оборудование доступа, или даже представителем InterNIC, проверяющим информацию по вашему домену. Это старый трюк, но многие на него по-прежнему попадаются.

НАДЕЖНАЯ ИНФОРМАЦИЯ

В информационной войне против незваных гостей ничто не в состоянии заменить информированность о случаях проникновения и уязвимых местах системы. Эту информацию можно получить по крайней мере из трех разных источников: некоммерческих институтов, отраслевых ассоциаций и узлов производителей (см. врезку «Ресурсы Internet»). Однако они отличаются областью своих интересов и, что более важно, своевременностью предоставления информации.

Среди некоммерческих институтов можно выделить Координационный центр CERT в Университете Карнеги-Меллон и Клиринговый дом компьютерных средств защиты в Национальном институте стандартов и технологий.

Эти организации финансируются из федерального бюджета, поэтому предоставляемая ими информация объективна. Описания инцидентов и рекомендации по их предотвращению публикуются своевременно, иногда через несколько часов после первого сообщения (Координационный центр, например, работает круглосуточно), и содержат сведения о дырах как коммерческих, так и бесплатных систем. Администратору защиты не мешает подписаться на CERT Advisory Mailing List на http://www.cert.org/contact_cert/certmaillist.html.

Отраслевые ассоциации, предоставляющие информацию об атаках, работают на коммерческой основе. Среди них International Computer Security Association (ICSA), институт SANS и Computer Security Institute (CSI). Источником их финансирования являются доходы от обучения, проведения конференций, публикаций и (в случае ICSA) сертификации продуктов защиты. По большей части эти ассоциации независимы от производителей и обычно предлагают своевременную информацию об уязвимых местах защиты.

Web-серверы производителей обычно не содержат никакой информации о слабостях, во всяком случае, своих собственных продуктов. Однако за последние два года отношение производителей к вопросом защиты заметно изменилось. Теперь часто заботящиеся о своей репутации производители выделяют целый узел Web заплатам и рекомендациям в области защиты.

Несмотря на то что такой подход является преимущественно реактивным («Вы находите дыру, мы предоставляем заплату»), тем не менее вам как администратору необходимо быть в курсе всех последних заплат системы защиты вашей платформы.

ИНФОРМАЦИОННЫЕ ВОЙНЫ

Несмотря на то что средства обнаружения атак продолжают развиваться, бороться с угрозами со стороны неконтролируемо растущей Internet становится все труднее. Возрастающая необходимость интеграции корпоративных сетей Intranet с Extranet, VPN и удаленным доступом еще больше усложняет задачу противодействия злоумышленникам.

Для администратора защиты единственный способ обеспечить приемлемый уровень защиты — это быть информированным. Полчаса на просмотр новостей в области защиты и пролистывание пары списков рассылки за чашкой кофе должны стать обязательным пунктом вашего ежедневного распорядка.

Ничто не в состоянии заменить человека по быстроте реакции на информационную атаку, и вложения в обучение и профессиональное развитие администраторов защиты остаются наиболее эффективным средством противодействия информационным атакам.

Рамон Дж. Онтаньон — специалист по защите Internet в UUNET. С ним можно связаться по адресу: hontanon@uu.net.


Бойтесь хакеров, дары приносящих

На языке защиты термин «троянский конь» обозначает вредоносные программы, упакованные в полезные по виду программы (или иногда скрытые внутри них) и широко доступные для загрузки.

В 1998 году группа хакеров «Культ мертвой коровы» (Cult of the Dead Cow) выпустила один из наиболее успешных и по сегодняшний день «троянских коней». Свободно доступный пакет Back Orifice предлагался в качестве помощи при системном администрировании Windows 95. Он поддерживал функции удаленного контроля, в том числе возможность протоколирования нажатий клавиш, инспектирования и удаления файлов и выполнения приложений на целевом хосте. В реальности же, после его установки ничего не подозревающим пользователем, Back Orifice оказывался чрезвычайно опасным инструментом хакинга.

В июле 1999 года группа выпустила Back Orifice 2000, следующее поколение Back Orifice. Так называемый BO2K теперь поддерживает Windows 95/98 и Windows NT и предлагается в виде пакета исходных кодов на условиях открытой лицензии GNU. Это по сути узаконивает Back Orifice как потенциально полезный инструментарий администрирования и как жизнеспособную альтернативу коммерческим предложениям в области удаленного управления. Однако он по-прежнему представляет серьезную угрозу при развертывании в неконтролируемой среде.

Хотя такой ход хакеров и породил серьезные разногласия, большая часть программного обеспечения для защиты от вирусов способна обнаруживать BO2K. Тем не менее различия между «троянскими конями» и легальными инструментами становятся не такими четкими, как прежде, и бдительный администратор защиты поступит правильно, если он будет следить за развертыванием таких инструментов на корпоративных настольных системах.


Ресурсы Internet

Координационный центр CERT (CERT/CC) предоставляет информацию о случаях атак и уязвимых местах систем на http://www.cert.org. Другой некоммерческий ресурс, Computer Security Resource Clearinghouse (CSRC), находится по адресу: http://csrc.nist.gov.

Общедоступную информацию об атаках представляют следующие отраслевые ассоциации International Computer Security Association (ICSA) на http://www.icsa.net, SANS Institute на http://www.sans.org и Computer Security Institute (CSI) на http://www.gocsi.com.

Back Orifice 2000 можно найти на http://www.cultdeadcow.com.


Хакеры в профиль и анфас

Кто же такие эти сомнительные личности, на которых вам приходится тратить столько времени и усилий, чтобы не допустить их в сеть? Если отбросить стереотипы, то не все злоумышленники одинаковы, поэтому, чтобы защитить свою сеть, вы должны вначале понять, почему ваша сеть оказалась атакована. Злоумышленники делятся на четыре общие категории: искатели приключений, идейные хакеры, промышленные шпионы и любопытные сотрудники.

Искатель приключений обычно молод, очень часто это студент, и у него редко когда имеется продуманный план атаки. Он выбирает цель случайным образом и обычно отступает, столкнувшись с трудностями. Найдя дыру, он старается собрать закрытую информацию, но практически никогда не пытается ее тайно изменить. Своими победами такой искатель приключений делится только со своими близкими друзьями-коллегами.

Идейный хакер — это тот же искатель приключений, но более искусный, к тому же он выбирает цели — хосты и ресурсы — на основании своих общественных и политических убеждений. Его излюбленным видом атаки является изменение информационного наполнения сервера Web или, в более редких случаях, блокирование работы атакуемого ресурса. Идейный хакер делится успешными атаками с гораздо более широкой аудиторией, нежели искатель приключений, обычно посредством размещения информации на хакерском узле Web (см. http://www.2600.com) или в конференциях Usenet.

Промышленный шпион имеет четкий план действий и нацеливается на определенные ресурсы. Его атаки хорошо продуманы и обычно осуществляются в несколько этапов. Вначале он собирает предварительную информацию (тип ОС, предоставляемые сервисы и применяемые меры защиты). Затем он составляет план атаки с учетом собранных данных и подбирает (или даже разрабатывает) соответствующие инструменты. Далее он проводит атаку и получает закрытую информацию. Наконец, он уничтожает все следы своих действий. Такой атакующий обычно хорошо финансируется и может работать в составе команды профессионалов.

Любопытный сотрудник может доставить столько же проблем, как и промышленный шпион, к тому же его присутствие обычно обнаружить сложнее. Кроме того, ему не приходится преодолевать внешнюю защиту сети по периметру, а только, как правило, менее жесткую внутреннюю защиту. Он не столь изощрен в способах атаки, как промышленный шпион, и поэтому чаще допускает ошибки и таким образом может выдать свое присутствие. Однако в этом случае опасность несанкционированного доступа к корпоративным данным много больше, чем со стороны любого другого злоумышленника.