Новый тип хакерской атаки на Internet, именуемый Web spoofing, вскоре может создать гораздо более серьезную угрозу ее безопасности, чем Syn flood, вирусы и так называемый Ping o"Death.

Пока еще не зафиксированы случаи применения этого новейшего метода, представляющего собой "спуфинг" сервера и подмену данных, разыскиваемых браузером пользователя. Однако, по мнению профессора Эдварда Фелтена, возглавляющего группу, занимающуюся исследованиями в области безопасности Internet в Принстонском университете, которая и обнаружила такую возможность, он может быть даже более опасен, чем атаки других типов.

Это обусловлено тем, что, в отличие от атак типа Syn, которые привели недавно к нарушению работы провайдера услуг Internet из Калифорнии (этот случай получил широкую известность), атаки типа Web spoofing могут поставить под угрозу целостность данных владельца Web-узла.

Атаки типа Syn просто разрывают Internet-соединения пользователей. При этом сервер заполняется запросами на соединение - и все они исходят от компьютера хакера, генерирующего ложные IP-адреса; в результате сервер провайдера услуг Internet перегружается; создается ситуация, когда вполне законные запросы игнорируются. К счастью, чтобы избежать атаки такого типа, можно принять некоторые меры предосторожности.

Для осуществления "спуфинга" Web тот, кто его предпринимает, должен сначала привлечь внимание пользователя к ложному Web-узлу.

Это может быть сделано несколькими способами: путем проникновения на существующий узел и подмены локаторов URL, путем внесения имитируемого узла в список механизма поиска или путем посылки электронной почты пользователям с указанием адреса, который сможет стимулировать их посещение. Данное пояснение принадлежит Фелтену, который недавно раскрыл технику имитации сервера.

Имитируемый узел затем помещает свой собственный адрес перед любым указателем ресурсов URL, запрашиваемым пользователем, так что адрес http://www.anyurl.com превращается в http://www.spoofserver.com/http://www.anyurl.com.

"Правильная" Web-страница затем отсылается назад пользователю через сервер, где эту информацию можно изменить, а любую информацию, которую передает пользователь, - перехватить.

Процесс может быть продлен, в результате чего все другие оперативные связи будут иметь пристыкованный впереди адрес; как следствие, все запросы других локаторов URL будут нарушаться.

Те два признака, которые могли бы насторожить пользователя, подсказывая ему, что его соединения осуществляются через другой сервер - статусная строка внизу экрана и адрес назначения наверху, - могут быть изменены путем использования апплетов Java, как утверждает Фелтен.

Он заявил, что единственный способ избавиться от "спуфинга" Web - это щелкнуть мышью на закладке или выбрать опцию "open location" из меню файлов, потому что оба действия вызываются из компонентов браузера, которыми апплет Java не может манипулировать.

Кроме того, к сожалению, полного решения проблемы добиться невозможно, главным образом из-за того, что для этого потребовалось бы фундаментально изменить принципы работы WWW и апплетов Java.

Такие уязвимые места протокола IP привлекают все более пристальное внимание.

Например, две организации, отслеживающие нарушения компьютерной безопасности - Координационный центр CERT в университете Карнеги-Меллон и группа "неотложной компьютерной помощи" (CIAC) Министерства энергетики - в конце декабря издали рекомендации, в которых содержатся предостережения относительно атак типа "отказ в обслуживании" путем применения схемы Ping o"Death.

При таком способе проникновения, как заметил менеджер CIAC Сэнди Спаркс, используется возможность фрагментирования пакетов, содержащаяся в спецификации протокола IP.

При атаке типа Ping o"Death посылающий передает слишком много фрагментов пакетов, которые после передачи должны быть снова смонтированы принимающей системой. Если объем фрагментов превысит максимально допустимый размер пакета, система отсоединится или даже выйдет из строя.

По данным CIAC, многие операционные системы открыты для атак типа Ping o"Death.

Компания IBM выпустила "заплатки" к своей операционной системе AIX для борьбы с атаками Ping o"Death и Syn-flood. Информацию о них можно получить на узле: http://service.software.ibm.com/aixsupport/.

Наблюдатели считают, что эти недостатки, скорее всего, не последние "дыры", выявленные в протоколе IP, поскольку последний и разрабатывался как открытый.

"Решить такую проблему без глубоких изменений в протоколе IP невозможно", - считает Дэйл Дрю, старший менеджер отдела безопасности компании MCI Communications.

Web-адрес CIAC: http://ciac.llnl.gov; Координационного центра CERT - http://www.cert.org.


Защита от атак типа Syn-Flood

Чтобы минимизировать риск атаки и урон от нее, эксперты советуют администраторам Web-узлов предпринять ряд действий.

  • Тщательно наблюдать за Web-узлами, носящими следы недавних нарушений защиты и решающими проблемы безопасности за счет программных "заплаток". Полезная информация: http://ciac.llnl.gov; http://www.cs.purdue.edu/coast/coast.html; http://www.cisco.com/warp/customer/707/4.html.
  • Получать и устанавливать для маршрутизаторов, серверов и операционных систем программные "заплаты", повышающие сопротивляемость систем.
  • Применять средства мониторинга для выявления атак. Программные средства Web Stalker компании Haystack Labs и Realsecure компании Internet Security Systems обнаруживают атаки типа Syn и другие вторжения.

    Поделитесь материалом с коллегами и друзьями