Координационный центр CERT Coordination Center занимается анализом деятельности хакеров с 1998 года. С тех пор многое изменилось, в том числе технологии, сообщество пользователей Internet, методы проведения атак и количество инцидентов. В статье приводится краткий обзор последних тенденций, которые влияют на возможность безопасным образом организаций (и отдельных пользователей) работать в Internet.

Автоматизация и скорость атак

Автоматизированные атаки, как правило, имеют четыре фазы, каждая из которых со временем видоизменяется: поиск потенциальных жертв, проникновение через уязвимые системы, распространение атаки и координированное управление средствами организации атаки.

Рис. 1. Количество инцидентов с 1988-го по 2001 год

Широкомасштабное сканирование стало повсеместным с 1997 года (рис. 1). Сейчас инструментальные средства сканирования используют более совершенные шаблоны сканирования, позволяющие максимально увеличить результативность и скорость. Раньше уязвимые места в системах использовались после того, как завершалось широкомасштабное сканирование. Теперь инструментальные средства организации атаки используют уязвимые места во время сканирования, что увеличивает скорость распространения атаки.

До 2000 года известные инструментальные средства организации атаки требовали, чтобы дополнительные циклы атаки инициировал человек. Сейчас такой инструментарий инициирует новые циклы атаки самостоятельно. Мы стали свидетелями того, как Code Red и Nimda размножились поистине до глобального масштаба менее чем за 18 часов.

С 1999 года с появлением распределенных средств организации атаки, хакеры получили возможность управлять и координировать большое количество применяемого инструментария, распределенного по массе систем Internet. Современные распределенные средства организации атаки способны инициировать DoS-атаки (denial of service — «отказ в обслуживании») более эффективно, сканируя сеть в поисках потенциальных жертв и проникая через уязвимые системы. Функции координации теперь используют существующие протоколы общедоступных коммуникаций, такие как Internet Relay Chat (IRC) и службы мгновенной передачи сообщений (instant messaging — IM).

Совершенствование инструментов организации атаки

Инструментальные средства организации атаки используют все более совершенные методы. Их намного труднее обнаружить с помощью средств анализа и определить с помощью систем на базе сигнатур, таких как антивирусные программы и программы обнаружения вторжений. Три важных показателя этих инструментальных средств — маскировка, динамическое поведение и модульность.

  • Маскировка. Хакеры используют методы, которые маскируют природу инструментальных средств организации атаки. В силу этого экспертам по безопасности становится намного сложнее анализировать новые инструментальные средства атаки и разбираться в новых и быстро растущих угрозах. Анализ часто включает в себя лабораторное тестирование и обратный инжиниринг.
  • Динамическое поведение. Первые инструментальные средства организации атаки выполняли этапы атаки в четко определенной последовательности. Современные средства могут менять свои шаблоны и поведение на основе случайно выбранных, предопределенных путей решения и посредством прямого управления со стороны хакера.
  • Модульность. В отличие от первого инструментария, который был способен реализовать атаку только одного типа, современные инструментальные средства могут быстро изменяться за счет модернизации или замены компонентов инструментария. Это приводит к быстрому развитию атаки и, в итоге, к созданию полиморфных инструментальных средств, которые самосовершенствуются таким образом, что каждый их экземпляр отличается от других. Кроме того, инструментальные средства организации атаки все чаще создаются с тем расчетом, чтобы они могли работать с разными операционными системами.

В качестве примера трудностей, создаваемых усовершенствованными инструментальными средствами организации атаки, можно упомянуть тот факт, что многие из них используют протоколы наподобие IRC или HTTP для пересылки данных или команд от хакера к атакуемым хостам. В результате, становится все сложнее отличить сигнатуры атаки от нормального, легитимного сетевого трафика.

Быстрое обнаружение вторжений

Рис. 2. Рост количества уязвимостей с 1985-го по 2002 год

Количество обнаруживаемых уязвимых мест, о которых пользователи сообщают CERT, каждый год увеличивается более чем вдвое (рис. 2). Администраторам довольно трудно добиваться того, чтобы их системы оставались актуальными из-за очень большого числа «заплаток», которые следует устанавливать. Кроме того, каждый год обнаруживаются новые классы дефектов защиты. Хакерам зачастую удается выявить эти дефекты в продуктах прежде, чем производители оказываются в состоянии их скорректировать.

Увеличение проницаемости межсетевых экранов

Зачастую именно межсетевые экраны рассматриваются как основная защита от хакеров. Однако уже разработаны технологии, позволяющие преодолевать межсетевые экраны в типовых конфигурациях, таких как IPP (Internet Printing Protocol) и WebDAV (Web-based Distributed Authoring and Versioning). Некоторые протоколы, называемые «дружественными к межсетевым экранам», на самом деле предназначены для того, чтобы обойти типичные конфигурации этих устройств. Определенные аспекты переносимого кода (в том числе элементы управления ActiveX, языки Java и JavaScript) усложняют защиту уязвимых систем и обнаружение вредоносных программ.

Увеличение асимметричности

Безопасность в Internet, по своей природе, предусматривает тесную взаимозависимость. Потенциальная уязвимость Internet-системы зависит от состояния защиты остальных систем, подключенных к глобальной Сети. Благодаря усовершенствованиям в технологии организации атаки отдельный хакер может довольно легко использовать большое количество распределенных систем для инициации разрушительных атак на одну жертву. С ростом автоматизации развертывания и совершенствованием управления инструментальными средствами организации атаки асимметричная природа опасности взлома защиты проявляется все сильнее.

Увеличение опасности инфраструктурных атак

Инфраструктурные атаки — это атаки, которые затрагивают основные компоненты Internet. Они становятся предметом все большего беспокойства в связи с ростом числа организаций и пользователей в Internet и все большей зависимости их нормального повседневного функционирования от Internet. Существует четыре основных типа атак: DoS-атаки, черви, DNS и атаки на маршрутизатор.

DoS-атаки

DoS-атаки используют множество систем для нападения на один или несколько сайтов, цель которых — добиться отказа в обслуживании. Высокий уровень автоматизации в инструментальных средствах организации атак позволяет одному хакеру установить свой инструментарий и контролировать десятки тысяч промежуточных систем, используемых для нападения.

Хакеры часто ищут адресные блоки, про которые известно, что они содержат высокую концентрацию уязвимых систем. Адресные блоки кабельных модемов, цифровых абонентских линий и университетских сетей все чаще становятся объектом нападения хакеров, планирующих установить свои инструментальные средства организации атак. DoS-атаки эффективны потому, что Internet состоит из ограниченных и потребляемых ресурсов.

Черви

Червь — это самотиражирующийся вредоносный код, который в состоянии распространять себя сам.

Некоторые черви (и Code Red в их числе) в дополнение ко всему используются как средства организации DoS-атаки. Другие, такие как sadmind/IIS, искажают информационное наполнение на Web-сайтах. Третьи, примером которых может служить W32/Leaves, могут динамически менять конфигурацию. Однако самый серьезный вред от таких червей состоит в том, что благодаря своему активному распространению они создают возможности организации DoS-атак из-за огромного объема сканирования трафика, который они генерируют. Примером тому являются DSL-маршрутизаторы, которые выходят из строя, и Internet-провайдеры, чьи сети оказываются полностью перегружены, не только из-за самого сканирования, но и из-за объема трафика управления базовой сетью, формируемого вследствие сканирования.

DNS-атаки

Domain Name System — это распределенный иерархический глобальный каталог, который преобразует имена в численные IP-адреса. Два старших уровня иерархии имеют критически важное значение для работы в Internet. К старшему уровню принадлежат 13 корневых серверов имен. Затем следуют серверы доменов старшего уровня (top-level domain, TLD), которые отвечают за .com и .net, а также за домены уровня страны (country code top level domain, ccTLD) такие как .us, .uk и так далее. Среди потенциальных угроз DNS — искажение кэша, фальсификация данных, отказ в обслуживании и кража доменов.

  • Искажение кэша. Если DNS создана с расчетом на кэширование фальшивой информации, хакер может перенаправить трафик, предназначенный для легитимного сайта, на сайт, который находится под его контролем. Проведенный недавно сотрудниками CERT Coordination Center опрос показал, что более 80% доменов TLD работает на серверах, которые потенциально уязвимы для атаки такого рода.
  • Фальсификация данных. Хакеры проникают на уязвимые серверы DNS, что дает им возможность изменять данные, предназначенные для пользователей. На многих серверах TLD работает программа, получившая название BIND, в которой дефекты обнаруживаются регулярно. Опрос CERT Coordination Center показал, что, по крайней мере, 20% доменов TLD функционируют на уязвимых серверах.
  • Отказ в обслуживании. Обширные DoS-атаки на некоторых из серверов имен для TLD (например, для зоны .com) могут привести к снижению производительности Internet в обширных областях или к перебоям в работе.
  • Кража доменов. За счет использования незащищенных механизмов, применяемых пользователями для обновления своей информации о регистрации домена, хакеры могут использовать процессы регистрации доменов для кражи легитимных доменов.
Атаки на маршрутизаторы

Потенциальные угрозы для маршрутизаторов разделяются на следующие категории.

  • Маршрутизаторы как платформы для атаки. Хакеры используют плохо защищенные маршрутизаторы в качестве платформы для генерации трафика в рамках атаки на другие сайты или для сканирования и разведки.
  • Отказ в обслуживании. Хотя маршрутизаторы рассчитаны на передачу больших объемов трафика, они зачастую не способны обрабатывать те же объемы трафика, адресуемые им самим. (Представьте себе это как разницу между сортировкой писем и их чтением). Хакеры используют эту особенность и, вместо того, чтобы проникать непосредственно на системы в сети, организуют атаку на маршрутизатор, который уже направляет ее в сеть.
  • Использование доверительных отношений между маршрутизаторами. Чтобы маршрутизаторы могли выполнять возложенные на них обязанности, они должны знать, куда переслать трафик, который они получают. Они делают это путем обмена друг с другом информацией о маршрутизации, в силу чего маршрутизаторы вынуждены доверять данным, которые они получают от своих "коллег". В результате, хакеру не составляет особого труда изменить, удалить или добавить маршруты в глобальные таблицы маршрутизации Internet таким образом, чтобы перенаправить предназначенный для одной сети трафик в другую сеть. Это, по существу, вызовет отказ в обслуживании в обеих сетях: в одной, поскольку в нее не будет направляться никакого трафика, а в другой - поскольку она получит больше трафика, чем должна. Эта технология в последнее время стала широко применяться, однако многие сети провайдеров Internet и крупных корпораций не используют для своей защиты имеющиеся функции надежного шифрования и аутентификации.

Из-за асимметричной природы опасности, отказ в обслуживании, скорее всего, останется самым популярным среди хакеров приемом в силу своей эффективной и незначительной трудоемкости. Internet-соединения большинства организаций имеют пропускную способность от 1 Мбит/с до 155 Мбит/с. Как правило, атаки используют ресурсы, способные породить трафик в сотни мегабит в секунду, что более чем достаточно для того, чтобы добиться перегрузки практически в любой системе в Internet.

Кроме того, некоторые вирусы присоединяют себя к файлам, имеющимся в инфицированной системе, а затем пересылают эти зараженные файлы в другие системы. В конечном итоге, это может привести к распространению конфиденциальной информации без ведома владельца (примером тому является вирус Sircam). Возможно, что самые серьезные последствия взлома защиты — это время и ресурсы которые требуются для ликвидации проникновений. По оценкам аналитиков Computer Economics, общий экономический ущерб от распространения Code Red составил 2,6 млрд. долл., а Sircam обошелся еще в 1,3 млрд. долл. Для сравнения, большинство экспертов считают, что террористические атаки 11 сентября потребуют 15,8 млрд. долл. на восстановление нормального функционирования информационных систем и средств связи. Эта тенденция, полагают в CERT Coordination Center, показывает, что организации, использующие в своей работе Internet, сталкиваются с серьезными трудностями при попытке обеспечить безопасность принадлежащих им компьютерных сетей и гарантировать работоспособность ответственных служб даже в случае атаки. Нам всем предстоит проделать огромную работу в том, что касается анализа риска и понимания, что можно сделать для снижения этого риска.

Аллен Хаусхолдер, Кевин Хаул и Чад Дугерти — сотрудники Координационного центра CERT Coordination Center.

Allen Householder, Kevin Houle, Chad Dougherty. Computer Attack Trends Challenge Internet Security. Security & Privacy — 2002, Supplement to IEEE Computer. 2002, IEEE Computer Society, All rights reserved. Reprinted with permission.