Но служба администрирования этого Web-узла обнаружила и отбила атаку, возвратив весь поток запросов на сервер-отправитель.
Коалиция электрохиппи (э-хиппи), зародившаяся в Великобритании, так и не призналась, что ее вредоносные действия воздались ей сторицей. Только на следующий день после атаки на Web-узле э-хиппи появилось сообщение с извинениями за возникшие у них трудности с доступом.
Вопрос о нанесении ответного удара в киберпространстве не имеет простого ответа. Хост-служба Conxion в г. Сан-Хосе, которая отразила нападение на Web-узел WTO, определила, что атака исходила с сервера э-хиппи, и дала команду программе-фильтру перенаправлять все приходящие с него пакеты обратно. Conxion была чрезвычайно горда тем, что смогла применить против нападавших их же оружие. Она даже выпустила по этому поводу пресс-релиз.
Однако реакция на данную контратаку среди специалистов по информационным технологиям (ИТ) оказалась неоднозначной. Большинство из них заявили, что не нанесли бы ответного удара в киберпространстве из опасения нанести ущерб невиновным. Правда, никто не сомневался, что при точной идентификации преступника подобные меры вполне оправданны.
Если бы в инструментарии служб защиты имелся хороший индикатор атак, то число сторонников нанесения ответного удара среди ИТ-специалистов могло бы увеличиться. Подобным инструментом стали бы, например, средства определения вторжения, сконфигурированные так, чтобы возвращать наполнение атаки источнику. Новые инструментальные средства с такой реакцией уже появляются на рынке, а бесплатное ПО для перенацеливания атак можно скачать с множества Web-узлов.
Электронная вендетта
Противники ответных действий считают, что возврат атак аналогичен расправе без суда. Их беспокоит также возможность причинить ущерб невиновному, к тому же за это можно и самому угодить под суд.
Ал Поттер, управляющий лабораторией безопасности сетей в ICSA Labs (г. Карлайл, шт. Пенсильвания), полагает, что любые, в том числе ответные, атаки незаконны — кто бы их ни инициировал и по какой бы то ни было причине. Попустительствуя «праведному» нападению, мы столкнемся с целым рядом проблем на федеральном и даже национальном уровне.
С ним согласен и лейтенант Крис Малиновски, возглавляющий отдел компьютерных преступлений департамента полиции г. Нью-Йорка: «Если вы — жертва преступления, то такие же действия по отношению к преступнику, исходящие от вас, тоже преступны». Пока действия Conxion не подпадают под действие закона, поскольку их можно рассматривать как отказ от получения почты с возвратом отправителю, что с правовой точки зрения вполне допустимо. «Если они действуют исключительно в рамках системы принятия превентивных мер, то никаких проблем нет, — говорит Малиновски. — Отказ от получения почты — нормальная функция системного администрирования. Но если вы привносите в почтовое сообщение собственный текст и направляете его обратно на узел-источник, у вас могут возникнуть проблемы с законом».
Точность наведения
Conxion повезло: у нее был точный IP-адрес сервера э-хиппи, поэтому трудностей с возвращением почты не возникло. Однако необходимо принимать во внимание, что большинство взломщиков пользуются при нападении чужими IP-адресами. Так, в феврале 2000 г. серия атак парализовала серверы Amazon.com, eBay и др. Все они инициировались абсолютно «невинным», но «зомбированным» компьютером, к которому незаконно подключился хакер. Если бы жертвы предприняли ответные меры, воспользовавшись IP-адресом источника, они нанесли бы урон законопослушной компании, которая и понятия не имела о своей роли в организации злодейства.
По мнению Грегори Пека, аналитика систем безопасности одной из фирм, входящих в список 500 ведущих компаний в сфере услуг, и издателя информационного бюллетеня HappyHacker.org, атаки с собственного компьютера — большая редкость. «Обычно взломщик использует один или несколько IP-адресов Internet-провайдеров, дистанционно переключаясь с одного на другой, поэтому «поймать» его в Сети очень сложно». Рассказывают о случае, когда системный администратор частной компании отбил хакерскую атаку, возвратив сообщение на исходящий IP-адрес, который, к сожалению, оказался ложным. На этом узле, в свою очередь, выявили источник атаки, и в результате «мститель» потерял работу.
Одобрено поставщиками
Примеры неудачных контрударов не останавливают производителей, которые поставляют на рынок продукты, обеспечивающие адекватную реакцию на нападения хакеров. Так, компа- нии Recourse Technolo gies из Паоло Альто (шт. Калифорния) и GTE Federal Network Systems из Арлинг- тона (шт. Вирджиния) предлагают «ловушки для взломщиков», которые они называют «приманками». Эти сетевые устройства намеренно привлекают внимание взломщиков, в то время как сетевые мониторы наблюдают за их действиями и собирают идентифицирующую информацию. «Граница между соблюдением секретности и принятием агрессивных контрмер очень тонка, — полагает Фрэнк Хьюэрта, президент и главный управляющий компании Recourse. — Поэтому наше аппаратное средство Mantrap больше похоже на систему видеонаблюдения, используемую в магазинах».
Следить за подозрительной деятельностью и собирать свидетельства против атакующих — это одно дело. Но некоторые поставщики, в частности разработчики детекторов вторжения, предлагают конфигурировать их аппаратные средства таким образом, чтобы они не просто аннулировали зловредные подключения, а отслеживали IP-адрес и возвращали DOS-атаку. Многие производители систем защиты, хотя и утверждают, что не рекомендуют своим клиентам перенаправлять атаку, с гордостью заявляют: их продукцию допускается запрограммировать для нанесения ответного удара.
«Если система обнаружения вторжений запрограммирована на автоматические ответные действия, то, перенацелив атаку по ложному IP-адресу, можно вызвать отказ в обслуживании «невиновного» сервера», — уверен Скотт Блейк, администратор безопасности компании Bindview из г. Хьюстон, поставляющей системы защиты для Internet. Поэтому Bindview с марта 2000 г. продает реагирующее на атаки аппаратное средство Zombie Zapper, которое действует несколько иначе. Вместо того чтобы возвращать распределенные DOS-угрозы адресанту, это устройство направляет выявленным компьютерам-источникам команду прекратить отправку DOS-пакетов. Блейк сообщил, что в течение двух недель после установки в сети компании Zombie Zapper активизировалось более 7 тыс. раз.
Однако есть еще два интересных вопроса: какие продукты предложат поставщики, когда на Web-узлах будут установлены бесплатные аппаратные средства реагирования, и станут ли специалисты по управлению сетями использовать эти бесплатные средства?
На последний вопрос многие отвечают отрицательно. По мнению Поттера из лаборатории ICSA, по отношению к большей части вполне легальных бесплатных продуктов реагирующие возможности лишь декларируются. Он считает, что поставщики, в конечном счете, создают лишь продукты, востребованные покупателями, а клиенты предпочитают усовершенствовать пассивную защиту на базе существующих аппаратных средств, нежели устанавливать новые устройства.
Криминальные действия в Internet все больше становятся «головной болью» администраторов корпоративных сетей и управляющих систем безопасности, так как киберполиция не в состоянии справиться с этой проблемой. Взлом защиты компьютерных систем американских корпораций обходится им в весьма приличные суммы. В совместном докладе Института компьютерной безопасности (г. Сан-Франциско) и ФБР, который был опубликован в марте 2000 г., сообщалось, что в прошлом году убытки от компьютерных преступлений составили 266 млн долл., а число потерпевших ущерб организаций перевалило за 270.
«Исходя из своего собственного опыта, я должен с сожалением констатировать, что если ваша фирма невелика и не совершает многомиллиардных сделок от имени государства, то помощи от агентств типа ФБР ждать придется очень долго, — говорит Пек. — Однако действуя в качестве аналитика безопасности собственной сети, вы сможете добиться значительно большего, чем ФБР». Многие следователи, которые занимаются компьютерными преступлениями, считают, что компаниям нужно активнее защищать свой капитал, отслеживая электронных преступников и предоставляя доказательства в прокуратуру.
* * *
Итак, каково же решение проблемы? Начните с создания собственной оборонительной системы. Это означает усиление и затем тестирование защиты всей сети — начиная с ОС и кончая внешними брандмауэрами и маршрутизаторами. «Тренируйте» сетевые службы на противодействие распределенным атакам, вирусам и прочим безобразиям, пока они не «научаться улаживать» такие проблемы. Ведь еще Иисус говорил, что «если бы ведал хозяин дома, в какую стражу придет вор, то бодрствовал бы и не дал бы подкопать дома своего».
Печально лишь то, что и киберпреступность будет совершенствоваться вместе со средствами защиты.
ОБ АВТОРЕ
Дебора Рэдклифф (Deborah Radcliff) — независимый автор. С ней можно связаться по адресу derad@aol.com.
Неофициальное мнение
Когда Грегори Пек, издатель информационного бюллетеня HappyHacker.org, попросил читателей (в основном специалистов по управлению сетями и их защите) определить свое отношение к ответным атакам на хакеров, многие из них решительно заявили, что при соответствующих условиях считают эти действия оправданными. Данный опрос не претендует на роль научного исследования, однако демонстрирует настроения системных администраторов. Приведем некоторые из их высказываний.
?
«Меня интересуют разработки, а не хакерство. Моя предыдущая работа (я был тренером по использованию огнестрельного оружия и айкидо) фактически вынуждала меня применять «физическую» самозащиту. Что же касается контратак в киберпространстве, основной проблемой для меня является точная идентификация нарушителя. Если можно правильно определить его IP-адрес, и контратака необходима для противодействия непрерывной атаке, я бы одобрил такой шаг».
?
«В мире нет ни одного полицейского департамента, который имел бы реальные ресурсы для выслеживания хакера, пославшего «Троянского коня» с намерением извлечь информацию из вашего компьютера. Я могу сделать это быстрее, чем полицейский департамент, и отправить аналогичную программу обратно, чтобы мой «монстр» стер украденные файлы из памяти хакерского компьютера и наказал злоумышленника, удалив и другие файлы. Большинство хакеров — 12-летние юнцы, использующие стандартные средства, и заставить их восстанавливать систему после срыва их атаки — воспитательная мера и справедливое наказание».
?
«Суды, как правило, согласны с тем, что вы имеете право ударить человека, замахнувшегося на вас ножом. Но совершенно другое дело, когда какой-нибудь тип угрожает вам ножом, а вы ему — гранатометом».
Реагирующие аппаратные средства
За деньги. В дополнение к системе honey-pot hacker trapping technology (технология «поимки хакеров на приманку»), созданной компаниями Recourse и GTE Federal Network Systems, фирма Network Ice (Сан-Матео, шт. Калифорния) разработала аппаратное средство BlackIce Defender. Оно предназначено для защиты небольших офисов и служащих, работающих вне офиса, например через модем. Network Ice (www.networkice.com) даже объявила о заключении соглашения, по условиям которого Intel будет комплектовать устройством BlackIce модемы для цифровых линий связи. Продукт способен блокировать некоторые виды предпринимаемых атак и определять IP-адреса атакующих. В последующих версиях реагирующих возможностей будет больше.
Бесплатное ПО. Продукт NetBuster (www.swipnet.se/w-1244/netbuster/main.html) предотвращает проникновение в компьютер «Троянского коня». Он может также использоваться в качестве средства «fool-the-one-trying-to NetBus-you» («обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает программу-«монстра» и определяет запустивший ее компьютер, а затем возвращает эту программу адресанту.
ПО Tambu UDP Scrambler (www.xploiter.com/tambu) работает с портами UDP — главной мишенью хакеров, намеренных получить доступ в чужую сеть. Продукт действует не только как фиктивный UDP-порт; он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder. На этом же узле имеются и многие другие средства борьбы со злоумышленниками, но чтобы не войти в конфликт с законом, многие из них применять не рекомендуется.
Набор антихакерских бесплатных программ можно найти также по адресу http:/webattack.com/freeware/security/fwantihack.shtml.