Новый тип хакерских нападений на Internet, названный Web spoofing, вскоре может стать гораздо более серьезной угрозой ее безопасности, чем Syn flood, вирусы и другие известные способы вторжения.

Пока еще не зафиксированы случаи применения этого новейшего хакерского метода, который состоит в подключении пользователя к ложному Web-серверу с целью подмены данных, запрашиваемых браузером пользователя. Однако, по мнению профессора Эдварда Фелтена, главы группы Safe Internet Programming Team в Принстоне, которая обнаружила такую возможность, Web spoofing может оказаться даже более опасным, чем другие виды "нападений". Это обусловлено тем, что в отличие от атак типа Syn flood, в результате которых недавно была нарушена работа Internet-провайдера из Калифорнии (этот случай получил широкую известность), атаки типа Web spoofing могут поставить под угрозу целостность данных владельцев Web-узлов.

Атаки типа Synflood просто блокируют Internet-соединения пользователей. При этом сервер заполняется запросами на соединение, исходящими от компьютера хакера, который генерирует ложные IP-адреса; в результате сервер Internet-провайдера перегружается и "законные" запросы начинают игнорироваться. Для защиты от подобных атак могут быть предприняты некоторые известные меры предосторожности.

При Web spoofing "нападающий" должен сначала заманить пользователя на ложный Web-узел. Это может быть сделано несколькими способами: путем проникновения на существующий узел и подмены URL-адресов, путем внесения адреса ложного узла

в список механизма поиска или путем посылки пользователям по электронной почте приглашения посетить ложный сервер, объясняет Фелтен. Затем адрес ложного узла помещается перед любым URL-адресом, запрашиваемым пользователем, так что адрес http://www.anyurl.com превращается в http://www.spoofserver.com-/http://www.anyurl.com. После этого запрошенная пользователем Web-страница отсылается к нему через ложный сервер, на котором она может быть изменена, а любая информация, которую передает пользователь, может быть перехвачена. В конце-концов все другие оперативные ссылки пользователя будут иметь добавленный спереди адрес ложного узла и все URL-запросы будут нарушены.

При этом строка состояния внизу экрана и адрес назначения наверху, которые должны были бы подсказать пользователю, что его соединения осуществляются через другой сервер, могут быть изменены с помощью аплетов Java, утверждает Фелтен. Даже при непосредственном вводе URL-адреса в строку назначения Java-аплет все равно может вставить в него адрес ложного сервера.

Избавиться от Web spoofing можно только пользуясь закладками или выбирая опцию Open Location из меню File, т. к. эти действия вызываются из компонентов браузера, которыми аплет Java не может манипулировать, указывает Фелтен. К сожалению, полного решения проблемы не существует, поскольку для этого потребовалось бы фундаментально изменить принципы работы World Wide Web и аплетов Java.

Подобные уязвимые места протокола IP все больше привлекают к себе внимание. Например, в конце декабря 1996 года две организации, отслеживающие нарушения компьютерной безопасности - центр CERT Coordination Center в институте Software Engineering Institute Университета Карнеги-Меллона и Computer Incident Advisory Capability (CIAC) Министерства энергетики (De-0partment of Energy), - издали рекомендации, в которых содержатся предостережения относительно "атак" типа denial-of-service (отказ в обслуживании), при которых используется схема Ping o"Death. В этом способе проникновения, утверждает менеджер CIAC Сэнди Спаркс, используется возможность фрагментирования пакетов, содержащаяся в спецификации IP. Нападающий передает слишком много фрагментов пакетов, которые должны быть смонтированы принимающей системой. Если общий объем фрагментов превышает максимально допустимый размер пакета, то система "зависает" или даже выходит из строя, объясняет Спаркс. По данным консультативной организации CIAC, многие операционные системы, в том числе и не являющиеся разновидностями Unix, открыты для атак типа Ping o" Death.

Компания IBM выпустила "заплатки" к своей операционной системе AIX для борьбы с "атаками" типа Ping o" Death и Syn flood, информацию о которых можно получить на узле http://service.-software.ibm.com/aixsupport/. Правда наблюдатели считают, что выявленные "дыры", скорее всего, являются не последними в протоколе IP, поскольку этот протокол и разрабатывался как открытый. "Реально решить эту проблему можно лишь после внесения серьезных изменений в протокол IP", - считает Дэйл Дрю, старший менеджер отдела безопасности компании MCI Communications.

С CIAC можно связаться по адресу http://ciac.llnl.gov, а с CERT Coordination Center - по адресу http://www.cert.org.

Picture

Механизм Web-спуфинга

Защита от атак типа Syn Flood

Чтобы минимизировать риск "атак" и урон от них, эксперты советуют администраторам Web-узлов предпринять следующие действия:

  • Посещать Web-узлы, содержащие информацию о недавних нарушениях защиты и предоставляющие "заплаты" для программного обеспечения. Такими узлами ,например, являются http://ciac.llnl.gov; http://www.cs.purdue.edu/coast/coast.html и http://www.cisco.com/warp/customer/707/4.html.
  • Получать и устанавливать программные "заплаты" для маршрутизаторов, серверов и операционных систем, повышающие степень защищенности систем.
  • Применять средства мониторинга для выявления "атак". Средства Web Stalker компании Haystack Labs и Realsecure компании Internet Security Systems обнаруживают "атаки" типа Synflood и другие "вторжения".