Защита фирм от хакерских атак

5.  
   История об атаке Адриана Ламо. 

 
Атака на сайт компании New York Times началась в феврале 2002 года, когда Адриану  Ламо удалось получить доступ во внутреннюю сеть редакции газеты, где он начал  модифицировать важные файлы. Ламо менял  конфиденциальные базы данных, в одну из которых, содержащую список сотрудничающих с газетой экспертов, он добавил  своё собственное имя. В другой базе хакер нашёл все газетные статьи, в том числе и те, которые  так и не были опубликованы. "Шалости" Адриана обнаружили быстро, и газета, конечно же, подала жалобу. В августе 2003 года Адриана Ламо арестовали после  более 15-ти месяцев расследования. Его  приговорили к двум годам испытательного срока и назначили выплатить "Times" $65 000 в качестве компенсации. 
 
 
 
В январе 2008 года 58-летний хакер из Греции был арестован местной полицией за незаконное вторжение в серверы компании Dassault Systemes и кражу программного обеспечения, которое впоследствии вор продал в Интернете. Взломав один из серверов Dassault, хакер под кодовым именем ASTRA смог получить доступ ко всей сети компании. После этого ему не составило труда украсть профессиональные программные средства моделирования. 
 
Будучи очень осторожным, преступник, прежде чем выйти из сети, стёр все следы своего пребывания. Заполучив программное обеспечение, ASTRA начал продавать его через Интернет с помощью своего сообщника, чем, по оценкам Dassault, нанёс компании ущерб более 300 миллионов долларов. Хакер был арестован в собственном доме в Афинах. Личность сообщника хакера так и не была установлена, известно только, что проживает он в Соединённом Королевстве. 

 
 
рис. 1 
 
 
 
На мой взгляд, в дальнейшем количество хакерских атак и компьютерных преступлений увеличится, поскольку с появлением различных сайтов у пользователя возникает любопытство, у него появляется мысль о том, как можно раздобыть конфиденциальную информацию любыми способами не взирая на то, что это уголовно наказуемо, каждый думает, что это его личный компьютер, по средствам которого он может делать все, что ему заблагоразумится, невзирая на запреты Уголовного Кодекса, но когда они предстают перед законом (что мы и увидели из вышеперечисленных рассказов про хакеров, и их атак), они получают по всей строгости закона, но, выходя на свободу, они учатся “заметать за собой следы”. 
 
Примером тому служит известная социальная сеть “Вконтакте”, я думаю, у каждого пользователя есть мечта, чтобы взломать аккаунт человека, чья личная информация, возможно, заинтересовала бы их в различных целях. 

3. Обнаружение  атак 

Исторически так сложилось, что технологии, по которым строятся системы обнаружения атак, принято  условно делить на две категории: обнаружение аномального поведения (anomaly detection) и обнаружение злоупотреблений (misuse detection). Однако в практической деятельности применяется другая классификация, учитывающая принципы практической реализации таких систем: обнаружение  атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют  сетевой трафик, в то время как  вторые — регистрационные журналы операционной системы или приложения. Каждый из классов имеет свои достоинства и недостатки, но об этом чуть позже. Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности нескольких категорий. Тем не менее эта классификация отражает ключевые возможности, отличающие одну систему обнаружения атак от другой.

В настоящий момент технология обнаружения аномалий не получила широкого распространения, и ни в одной  коммерчески распространяемой системе  она не используется. Связано это  с тем, что данная технология красиво  выглядит в теории, но очень трудно реализуется на практике. Сейчас, однако, наметился постепенный возврат  к ней (особенно в России), и можно  надеяться, что в скором времени  пользователи смогут увидеть первые коммерческие системы обнаружения  атак, работающие по этой технологии.

Другой подход к обнаружению  атак — обнаружение злоупотреблений, которое заключается в описании атаки в виде шаблона (pattern) или сигнатуры (signature) и поиска данного шаблона в контролируемом пространстве (сетевом трафике или журнале регистрации). Антивирусные системы являются ярким примером системы обнаружения атак, работающей по этой технологии.

Как уже было отмечено выше, существует два класса систем, обнаруживающих атаки на сетевом и операционном уровне. Принципиальное преимущество сетевых (network-based) систем обнаружения  атак состоит в том, что они  идентифицируют нападения прежде, чем  те достигнут атакуемого узла. Эти  системы более просты для развертывания  в крупных сетях, потому что не требуют установки на различные  платформы, используемые в организации. В России наибольшее распространение  получили операционные системы MS-DOS, Windows 95, NetWare и Windows NT. Различные диалекты UNIX у нас пока не столь широко распространены, как на Западе. Кроме  того, системы обнаружения атак на уровне сети практически не снижают  производительности сети.

Системы обнаружения атак на уровне хоста создаются для  работы под управлением конкретной операционной системы, что накладывает  на них определенные ограничения. Например, мне не известна ни одна система  этого класса, функционирующая под  управлением MS-DOS или Windows for Workgroups (а  ведь эти операционные системы еще  достаточно распространены в России). Используя знание того, как должна «вести» себя операционная система, средства, построенные с учетом этого  подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения  атак. Однако зачастую это достигается  дорогой ценой, потому что постоянная регистрация, необходимая для выполнения подобного рода обнаружения, существенно  снижает производительность защищаемого  хоста. Такие системы сильно загружают  процессор и требуют больших  объемов дискового пространства для хранения журналов регистрации  и, в принципе, не применимы для  высококритичных систем, работающих в режиме реального времени (например, система «Операционный день банка» или система диспетчерского управления). Однако, несмотря ни на что, оба эти  подхода могут быть применены  для защиты вашей организации. Если вы хотите защитить один или несколько  узлов, то системы обнаружения атак на уровне хоста могут стать неплохим выбором. Но если вы хотите защитить большую  часть сетевых узлов организации, то системы обнаружения атак на уровне сети, вероятно, будут наилучшим  выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемом  при помощи системы обнаружения  атак. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей  на уровне хостов, понадобится ее установка  и настройка на каждый защищаемый хост. Идеальным решением стала бы система обнаружения атак, объединяющая в себе оба эти подхода.[1]

Существующие сегодня  на рынке коммерческие системы обнаружения  атак (Intrusion Detection Systems, IDS) используют для  распознавания и отражения атак либо сетевой, либо системный подход. В любом случае эти продукты ищут сигнатуры атак, специфические шаблоны, которые обычно указывают на враждебные или подозрительные действия. В случае поиска этих шаблонов в сетевом трафике, IDS работает на сетевом уровне. Если IDS ищет сигнатуры атак в журналах регистрации операционной системы или приложения, то этосистемный уровень. Каждый подход имеет свои достоинства и недостатки, но они оба дополняют друг друга. Наиболее эффективной является система обнаружения атак, которая использует в своей работе обе технологии. В данном материале обсуждаются различия в методах обнаружения атак на сетевом и системном уровнях с целью демонстрации их слабых и сильных сторон. Также описываются варианты применения каждого из способов для наиболее эффективного обнаружения атак.

3. Как защититься  от удаленных атак в сети Internet?

Особенность сети Internet на сегодняшний  день состоит в том, что 99% процентов  информационных ресурсов сети являются общедоступными. Удаленный доступ к  этим ресурсам может осуществляться анонимно любым неавторизованным пользователем  сети. Примером подобного неавторизованного  доступа к общедоступным ресурсам является подключение к WWW- или FTP-серверам, в том случае, если подобный доступ разрешен.

Определившись, к каким  ресурсам сети Internet пользователь намерен  осуществлять доступ, необходимо ответить на следующий вопрос: а собирается ли пользователь разрешать удаленный  доступ из сети к своим ресурсам? Если нет, то тогда имеет смысл  использовать в качестве сетевой  ОС "чисто клиентскую" ОС (например, Windows '95 или NT Workstation), которая не содержит программ-серверов, обеспечивающих удаленный  доступ, а, следовательно, удаленный  доступ к данной системе в принципе невозможен, так как он просто программно не предусмотрен (например, ОС Windows '95 или NT, правда с одним но: под данные системы действительно нет серверов FTP, TELNET, WWW и т. д., но нельзя забывать про встроенную в них возможность предоставления удаленного доступа к файловой системе, так называемое разделение (share) ресурсов. А вспомнив по меньшей мере странную позицию фирмы Microsoft по отношению к обеспечению безопасности своих систем, нужно серьезно подумать, прежде чем остановить выбор на продуктах данной фирмы. Последний пример: в Internet появилась программа, предоставляющая атакующему несанкционированный удаленный доступ к файловой системе ОС Windows NT 4.0!). Выбор клиентской операционной системы во многом решает проблемы безопасности для данного пользователя (нельзя получить доступ к ресурсу, которого просто нет!). Однако в этом случае ухудшается функциональность системы. Здесь своевременно сформулировать, на наш взгляд, основную аксиому безопасности:

Аксиома безопасности. Принципы доступности, удобства, быстродействия и функциональности вычислительной системы антагонистичны принципам ее безопасности.

Данная аксиома, в принципе, очевидна: чем более доступна, удобна, быстра и многофункциональна ВС, тем  она менее безопасна. Примеров можно  привести массу. Например, служба DNS: удобно, но опасно.

Вернемся к выбору пользователем  клиентской сетевой ОС. Это, кстати, один из весьма здравых шагов, ведущих  к сетевой политике изоляционизма. Данная сетевая политика безопасности заключается в осуществлении  как можно более полной изоляции своей вычислительной системы от внешнего мира. Также одним из шагов  к обеспечению данной политики является, например, использование систем Firewall, позволяющих создать выделенный защищенный сегмент (например, приватную  сеть), отделенный от глобальной сети. Конечно, ничто не мешает довести  эту политику сетевого изоляционизма  до абсурда - просто выдернуть сетевой  кабель (полная изоляция от внешнего мира!). Не забывайте, это тоже "решение" всех проблем с удаленными атаками  и сетевой безопасностью (в связи c полным отсутствием оных).

Итак, пусть пользователь сети Internet решил использовать для  доступа в сеть только клиентскую сетевую ОС и осуществлять с помощью  нее только неавторизованный доступ. Проблемы с безопасностью решены? Ничуть! Все было бы хорошо, если бы ни было так плохо. Для атаки "Отказ  в обслуживании"  абсолютно не имеет значения ни вид доступа, применяемый пользователем, ни тип сетевой ОС (хотя клиентская ОС с точки зрения защиты от атаки несколько предпочтительнее). Эта атака, используя фундаментальные пробелы в безопасности протоколов и инфраструктуры сети Internet, поражает сетевую ОС на хосте пользователя с одной единственной целью - нарушить его работоспособность. ля атаки, связанной с навязыванием ложного маршрута при помощи протокола ICMP, целью которой является отказ в обслуживании, ОС Windows '95 или Windows NT - наиболее лакомая цель. Пользователю в таком случае остается надеяться на то, что его скромный хост не представляет никакого интереса для атакующего, который может нарушить его работоспособность разве что из желания просто напакостить.

3.1. Административные  методы защиты от удаленных  атак в сети Internet

Самым правильным шагом в  этом направлении будет приглашение  специалиста по информационной безопасности, который вместе с вами постарается  решить весь комплекс задач по обеспечению  требуемого необходимого уровня безопасности для вашей распределенной ВС. Это  довольно сложная комплексная задача, для решения которой необходимо определить, что (список контролируемых объектов и ресурсов РВС), от чего (анализ возможных угроз данной РВС) и  как (выработка требований, определение  политики безопасности и выработка  административных и программно-аппаратных мер по обеспечению на практике разработанной  политики безопасности) защищать.

Пожалуй, наиболее простыми и дешевыми являются именно административные методы защиты от информационно-разрушающих  воздействий.

Как защититься от анализа сетевого трафика?

Существует атака, позволяющая  кракеру при помощи программного прослушивания канала передачи сообщений  в сети перехватывать любую информацию, которой обмениваются удаленные  пользователи, если по каналу передаются только нешифрованные сообщения. Также  можно показать, что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную криптозащиту передаваемых по сети даже идентификаторов (имен) и аутентификаторов (паролей) пользователей. Поэтому администраторам  сетей, очевидно, можно порекомендовать  не допускать использование этих базовых протоколов для предоставления удаленного авторизованного доступа к ресурсам своих систем и считать анализ сетевого трафика той постоянно присутствующей угрозой, которую невозможно устранить, но можно сделать ее осуществление по сути бессмысленным, применяя стойкие криптоалгоритмы защиты IP-потока.

Как защититься от ложного ARP-сервера?

В том случае, если у сетевой  ОС отсутствует информация о соответствии IP- и Ethernet-адресов хостов внутри одного сегмента IP-сети, данный протокол позволяет  посылать широковещательный ARP-запрос на поиск необходимого Ethernet-адреса, на который атакующий может прислать ложный ответ, и, в дальнейшем, весь трафик на канальном уровне окажется перехваченным атакующим и пройдет через ложный ARP-сервер. Очевидно, что для ликвидации данной атаки необходимо устранить причину, по которой возможно ее осуществление. Основная причина успеха данной удаленной атаки - отсутствие необходимой информации у ОС каждого хоста о соответствующих IP- и Ethernet-адресах всех остальных хостов внутри данного сегмента сети. Таким образом, самым простым решением будет создание сетевым администратором статической ARP-таблицы в виде файла (в ОС UNIX обычно /etc/ethers), куда необходимо внести соответствую-щую информацию об адресах. Данный файл устанавливается на каждый хост внутри сегмента, и, следовательно, у сетевой ОС отпадает необходимость в использовании удаленного ARP-поиска.

Как защититься от ложного DNS-сервера?

Использование в сети Internet службы DNS в ее нынешнем виде может  позволить кракеру получить глобальный контроль над соединениями путем  навязывания ложного маршрута через  хост кракера - ложный DNS-сервер. Осуществление  этой удаленной атаки, основанной на потенциальных уязвимостях службы DNS, может привести к катастрофическим последствиям для огромного числа  пользователей Internet и стать причиной массового нарушения информационной безопасности данной глобальной сети. В следующих двух пунктах предлагаются возможные административные методы по предотвращению или затруднению  данной удаленной атаки для администраторов  и пользователей сети и для  администраторов DNS-серверов.