Пока вы спали...
Грозное предупреждение
Пылесосы Internet
Защищайтесь!

О проблеме защиты компьютерных сетей от несанкционированного доступа всегда охотно писали компьютерные издания и много говорили специалисты. Особенно актуальной эта тема становилась всякий раз, когда очередной хакер проникал в компьютерные системы Пентагона, NASA или крупного банка. Но, на мой взгляд, гораздо интересней то, что происходит у родного порога, т.е. как российские сети справляются с аналогичными проблемами. Одной из многочисленных попыток несанкционированного доступа к компьютерам российского сектора Internet посвящена эта статья.

В одном из докладов Министерства обороны США ("Information security - computer attacks at department of defence pose increasing risks"), составленных по запросу Конгресса, отмечалось, что в последнее время число атак на компьютеры вооруженных сил увеличилось: 250 тыс. атак в 1995 году, что в два раза превысило показатели 1994 года. В том же докладе отмечается, что, несмотря на все средства защиты, существующие в сети, только одна из 150 атак надежно обнаруживается.

Среди основных средств, которыми пользуются атакующие, программа обмена электронной почтой sendmail, подбор паролей и сканирование трафика. Последний способ особенно неприятен, т.к. от него можно защищаться только шифрованием.

Надо сказать, что проблема защиты от сканирования далеко не нова. Со времен начала работы над проектом Athena Массачусетского технологического института, результатом которого явилась система "Керберос", одной из основных задач систем защиты информационного обмена в общественной сети стала защита от захвата и анализа пакетов.

Пока вы спали...

До последнего времени в российском секторе Internet хотя и знали, что такая проблема существует, а провайдеры и сами пользовались сканированием, серьезных шагов по защите от сканирования не предпринималось, т.е. не выдвигалось требование тотальной защиты (как это имеет место во всех зарубежных коммерческих и правительственных сетях). Несмотря на то что Relcom первой продемонстрировала в 1991 году возможности бесконтрольного (со стороны государства) распространения информации через Internet, ни Demos, ни AO Relcom не ставили перед собой задачи сплошной защиты своих внутренних сетей от атаки извне при помощи средств просмотра содержания IP-пакетов. Надо сказать, что довольно долгое время такая практика себя оправдывала. Серьезных нарушений в работе сети не происходило, а атаки на шлюзы и локальные подсети успешно отбивались системами фильтрации трафика. Но к осени 1996 года ситуация изменилась. И, главным образом, по причине внедрения системы доступа к сети по dial-ip. Теперь в сети появилось множество случайных людей. Кроме того, внедрение Internet во многих московских вузах привело к тому, что в ряды пользователей Сети влилось немало студентов. При этом следует отметить, что доступ из академических и учебных заведений в Internet по большей части остается бесплатным для пользователей таких учреждений, а это значит, что ресурсами сети можно пользоваться круглосуточно, не заботясь о том, сколько у тебя в кармане денег. Люди, как известно, любят подсматривать и подглядывать. Ну а если заниматься этим сколько душе угодно, да еще и безнаказанно, то вероятность появления любопытных резко возрастает.

К осени 1996 года число зарегистрированных пользователей dial-ip составило несколько тысяч человек только в AO Relcom; Sovam Teleport начал предоставлять такой доступ на полгода раньше (с осени 1995), следовательно там пользователей должно быть еще больше. Кроме того, многие университеты, учебные заведения и научно-исследовательские организации для своих сотрудников создали модемные пулы. Естественно, что администраторы подсетей или их близкие друзья также не могли не воспользоваться возможностью работать на дому. Исходя из этого можно предположить, что только в Москве число пользователей dial-ip составляет несколько десятков тысяч человек. Совершенно очевидно, что среди такого количества людей обязательно найдется некто, посвятивший все свое свободное время исследованию сети, тем более, что слава всемогущих хакеров, взламывающих компьютеры Пентагона, многим не дает спать спокойно.

Грозное предупреждение

В конце сентября 1996 года прозвучал первый тревожный звонок. При анализе статистики посещений сервера одного из московских провайдеров администратором в журнале программы фильтрации трафика была зарегистрирована очередная попытка несанкционированного доступа по реально существующему идентификатору и паролю. Учитывая, что таких попыток происходит довольно много, нужно отдать должное администратору системы, который оказался человеком дотошным и стал выяснять, кто и откуда пытался проникнуть в систему. Картина, возникшая в итоге двухнедельного изучения файлов отчетов статистики доступа к основным компьютерам центров управления российскими сетями, оказалась весьма удручающей. На многих машинах были выявлены посещения в режиме привилегированных пользователей с адресов, которые не ассоциировались ни с одним из тех лиц, которым такой доступ был разрешен. Обнаружились списки идентификаторов и паролей, инструмент, которым пользовались взломщики, отчеты этой программы - их злоумышленники хранили на компьютерах за пределами российской части Internet. В коллекции паролей и идентификаторов пользователей, в том числе и привилегированных только по российский части Internet, их насчитывается до нескольких тысяч.

Определить, кто и откуда коллекционировал информацию, не представляло большого труда. Сложнее было решить вопрос, что, собственно, в этом случае следует предпринимать. Ведь подобного прецедента в практике российского Internet-сообщества еще не было. Во-первых, конечно, надо было защищаться. Средства защиты хорошо известны - это фильтрация трафика и шифрация обменов. Благо в настоящее время Гостехкомиссией выдано более сотни лицензий на возможность проведения такого сорта мероприятий и сертифицировано как аппаратное, так и программное обеспечение. Лицензии имеют, например, такие компании как, "Анкей", "Элвис+", "Конфидент", "Релком-Альфа", и ряд других. Но пассивная оборона - это еще не все, хотелось, кроме того, и наказать наглецов. А вот это оказалось сделать сложнее. В принципе по новому российскому законодательству с января 1997 года предусмотрены наказания вплоть до лишения свободы на срок до семи лет за компьютерные преступления. Однако ведение следственных мероприятий, передача дела в суд и т.п. не входят в компетенцию провайдеров и могут занять много времени. Короче говоря, прецедентов что-то пока не наблюдалось. Поэтому было принято решение зафильтровать сетки, с которых осуществлялся первоначальный вход в сеть при взломе.

К чему привела эта практика, почувствовали на себе многие пользователи Сети. На первый взгляд, вроде ничего страшного, ну не пускают тебя к отечественным информационным ресурсам, а мы, что называется, и не хотели. Будем ходить на Запад. Но не тут-то было. Дело в том, что к отечественным информационным сервисам относится и служба DNS. DNS обслуживает запросы на получение по доменному имени машины ее IP-адреса. Каждый домен имеет несколько серверов, которые могут удовлетворить запрос пользователя, но только один из них является главным. Все остальные серверы время от времени сверяют информацию в своей базе данных с информацией в базе данных главного сервера. При фильтрации обычно закрывают порты TCP. Это значит, что отвечать на запросы, которые используют 53 порт UDP, сервер будет, а вот осуществить копирование описания зоны, которое производится по 53 порту TCP, на дублирующий сервер, межсетевой фильтр не даст. Как результат, дублирующие серверы будут отказывать в обслуживании, доступ к ресурсам, из-за невозможности получить за приемлемое время IP-адрес, будет затруднен. В результате обращаться к такому информационному ресурсу, как World Wide Web, становится весьма затруднительно. Что же говорить о доступе к отечественным ресурсам. Ведь "не видно" не только тех, кто спрятался за "стенами", но и тех, кто разместил там серверы DNS. Особенно пикантной становится ситуация, если в защищенную зону попадет root-сервер DNS для доменов SU и RU.

Понятно, что система рано или поздно стабилизируется. Обращения будут направляться только к "живым" серверам. Но, как показала практика, на это уходит около двух недель. Очевидно, что для того, чтобы избежать подобных "встрясок", провайдеры, к которым в данном случае относятся и некоммерческие сети, должны вместе договориться об общих принципах политики безопасности, в противном случае ситуация будет повторяться постоянно, но гораздо с более серьезными последствиями для всех заинтересованных сторон. Попутно хотелось бы заметить, что всякие разговоры о проблемах с сервером InfoArt (когда, как утверждалось, было подменено содержание базы данных службы доменных имен) могут являться следствием всего вышеизложенного. Хотя такое совпадение событий по времени может оказаться и простой случайностью.

Пылесосы Internet

После столь долгого вступления давайте поговорим все же о том средстве, которым воспользовались злоумышленники. Программы, позволяющие захватывать пакеты из сети, называются sniffers (буквально - "нюхачи", но мне кажется, лучше назвать их "пылесосами", так как, хотя есть и интеллектуальные программы, которые из всех пакетов выбирают только то, что нужно, большинство из них "сосет" все подряд. Первые такие программы использовали топологию сетей Ethernet. В обычном режиме плата Ethernet принимает только те фреймы, которые ей предназначены, т.е. указаны в заголовке фрейма. Однако в целях отладки многие карты можно заставить работать в режиме "пылесоса", тогда они будут принимать все фреймы, которые передаются по кабелю. Такой режим работы карты называется promiscuous mode. Если можно заполучить пакет в машину, то, следовательно, его можно проанализировать. Главная проблема, связанная с "нюхачами", заключается в том, чтобы они успевали перерабатывать весь трафик, который проходит через интерфейс. Код одной из достаточно эффективных программ этого типа (Esniff) был опубликован в журнале Phrack. Esniff предназначена для работы в SunOs. Программа очень компактная и захватывает только первые 300 байт заголовка, что вполне достаточно для получения идентификатора и пароля telnet-сессии. Программа свободно распространяется по сети, и каждый желающий может "срисовать" ее по адресу: ftp://coombs. anu.edu.au/pub/net/log. Существуют и другие программы этого типа, и не только для платформ Sun. Это Gobler, ethdump, ethload для MS-DOS или Paketman, Interman, Etherman, Loadman - для целого ряда платформ, которые включают в себя и Alpha, Mips и др. "Нюхачи" существуют не только для Ethernet. Многие компании выпускают системы анализа трафика и для высокоскоростных линий передачи данных. Достаточно зайти на домашнюю страницу AltaVista и запустить запрос, состоящий из одного слова sniffer, как вы сразу получите целый список страниц на данную тему. Лучше, правда, использовать "sniffer AND security", т.к. система может понять вас буквально и выложить информацию и об органах дыхания. При этом следует подчеркнуть, что проблема "подглядывания" это не только проблема сетей TCP/IP. Существуют анализаторы любых протоколов, просто TCP/IP - это Internet.

Защищайтесь!

Когда писались программы анализа трафика, предполагалось, что пользоваться ими будут профессионалы, отвечающие за надежность работы сети. Однако, как это часто бывает, система оказалась обоюдоострой. Как же бороться с непрошенными гостями? Во-первых, если система многопользовательская, то при помощи команды ifconfig можно увидеть интерфейс, который работает в режиме "пылесоса". Среди флагов появляется значение PROMISC. Однако злоумышленник может подменить команду ifconfig, чтобы она не показывала этот режим работы. Поэтому сначала следует убедиться в том, что программа та самая, которая была первоначально, а затем ее необходимо протестировать. Обнаружить "пылесос" на других машинах сети нельзя, особенно это касается машин с MS-DOS. Поэтому защищаются от сканирования путем установки межсетевых фильтров и введения механизма шифрации либо всего трафика, либо только идентификаторов и паролей.

Существуют и аппаратные способы защиты. Ряд сетевых адаптеров не поддерживает режим promiscuous mode. Если эти карты использовать для организации локальной сети, то можно обезопасить себя от "подглядывания".

Для того чтобы "подглядывать", вовсе не обязательно включать режим принятия всех пакетов. Если запустить программу анализа пакетов на шлюзе, то вся информация также будет доступна, т.к. шлюз перепускает через себя все пакеты в/из локальной сети, для которой он выполняет функции маршрутизатора.

Увы, для пользования sniffer не надо иметь семи пядей во лбу, не нужен диплом о высшем образовании, да и вообще, запустить программу и воспользоваться результатами ее работы может младенец. То, что кто-то смог собрать коллекцию чужих паролей и идентификаторов, вовсе не свидетельство его ума или профессиональной пригодности. В нашем конкретном случае программа анализа дампа, которой пользовался хакер, была довольно малоэффективна (около 2%). В Сети существуют средства и получше. Всем нам, пользователям российского Internet, следует помнить, что единственным последствием продолжения атак на компьютеры NOC станет неминуемое ужесточение правил работы в Сети, а это вряд ли кого-то обрадует.


Павел Храмцов - руководитель группы РНЦ "Курчатовский Институт". C ним можно связаться по тел.: (095) 196-91-24 или по электронной почте: paul@kiae.su.