WWW - дикий, дикий, дикий интернет
АрхивКак проверить, насколько опасно работать в интернете? Ответ на этот вопрос мы решили получить опытным путем. Десять дней всевозможные сетевые "хищники" взламывали специальную "сеть-приманку"
БСЭ, Жизнь животных, т. 4, ч. 1. — М., 1971.
Как проверить, насколько опасно купаться в притоках Амазонки, где водятся пираньи? Как узнать, насколько опасно работать или развлекаться в интернете - виртуальном пространстве, о невиртуальных опасностях которого так много говорят? Ответ на оба вопроса можно получить только опытным путем.
В первом случае можно бросить за борт лодки связанного добровольца-испытателя (или любителя бородатых анекдотов), засечь, за сколько секунд пираньи съедят неожиданный подарок, и быстро отплыть, пока благодарные карпообразные не пришли сказать спасибо. Во втором случае в жертву исследовательским целям должны быть принесены компьютеры, подключенные к интернету. Доверим решение первого вопроса профессионалам-ихтиологам и энтузиастам-любителям, а ответ на второй вопрос дали, сами того не подозревая, разнообразные "хищники" интернета, в течение десяти дней взламывая специально предоставленную им сеть. Проведению и итогам этого эксперимента посвящена статья, предлагаемая вашему вниманию.
Поскольку в эксперименте ставилась задача количественно оценить степень опасности (что можно сделать, сосчитав число и типы сетевых атак), то в качестве приманки были выбраны не реально существующие сетевые системы (хосты), а их имитации. Которые, впрочем, были достаточно правдоподобны, чтобы ввести в заблуждение взломщиков. Атака виртуального хоста похожа на бой с тенью. Даже в совершенстве владея приемами боя, тени невозможно нанести урон. Атака же виртуального хоста еще интереснее. Цель можно "увидеть", "услышать" и даже напасть на нее, но никак не взломать. Хотя, если запланировано, взломщик после удачного хода может получить сообщение вида: "О да, да. Ты меня взломал. Подожди немного, сейчас приедут ребята из некой организации и привезут приз". В это время человек, установивший хост-приманку, получает детальную информацию об атакующем и о примененных им методах.
Предпосылкой возникновения хостов-имитаторов послужила растущая успешность сетевых нападений. Взломщики из объединенной команды профессионалов и любителей намного опережали разработчиков защитных систем. Стало очевидно, что без серьезного изучения методов, психологии и целей взломщиков сложившуюся ситуацию не изменить. В результате появилось несколько проектов, позднее объединенных под общим названием Honeynet. Для изучения целей взломщиков применяются специально подготовленные сетевые системы, позволяющие после вторжения наблюдать за действиями злоумышленников, как за рыбами в аквариуме. Подобные системы стали называть honeypot ("горшок с медом", англ., что можно образно перевести как "приманка"). Сети, образованные из honeypots, получили название honeynets. Это и дало название исследовательскому проекту. В процессе развития проекта Honeynet выделились два вида систем-приманок - исследовательские и промышленные. Первые служат для наблюдения и исследования действий взломщиков. Вторые лишь имитируют уязвимые системы. Их задача - предупредить атаку злоумышленников на рабочие хосты. Имитируя более доступные цели, они "вызывают огонь на себя", тем самым, выявляя злоумышленников и собирая информацию, которая затем передается механизмам защиты.
Одна из наиболее интересных промышленных систем honeypot, на базе которой и был поставлен эксперимент - программа Honeyd. Разработчик - Нильс Провос. Программа распространяется по лицензии BSD. Адаптировал Honeyd для работы на системах семейства Windows Майкл Дэвис.
Honeyd создает виртуальные сетевые системы. Запустив ее на сетевом компьютере, можно имитировать до 65535 хостов. Для каждого из них есть возможность задать свою конфигурацию. Одно из основных достоинств Honeyd - способность имитировать до 563 различных операционных систем и их модификаций, для чего используются базы данных сетевых сканеров nmap и xprobe. Даже изощренные методы исследования не отличат созданные Honeyd виртуальные хосты от их реальных аналогов. Работа сетевых сервисов имитаций обеспечивается выполнением несложных интерактивных программ - сценариев или пересылкой (проксированием) запросов к существующему рабочему сервису. Помимо этого, виртуальные хосты можно объединять в сеть. Задав топологию одной или нескольких виртуальных сетей, установив схему маршрутизации и определив процент потерь пакетов, можно внушить взломщику ощущение легкой добычи и отвлечь его внимание от рабочей сети.
Брандмауэр (firewall, межсетевой экран) - реализованное программно или аппаратно средство фильтрации сетевого трафика между двумя сетями или компьютером и сетью (персональный брандмауэр).
Брандмауэр не является абсолютной защитой. Необходимо учитывать, что он только открывает или закрывает доступ к определенным ресурсам, основываясь на сетевых адресах отправителя и получателя сетевых запросов, а не контролирует содержимое сетевого трафика. В результате, если злоумышленник проведет атаку на открытый в брандмауэре уязвимый сетевой сервис, система будет взломана. Анализ сетевого трафика - задача сетевых систем обнаружения вторжений (Network Intrusion Detection System, NIDS). Это своеобразный аналог антивируса, адаптированный для работы в сети. Отработанная связка "брандмауэр и система обнаружения вторжений" сильно повысит шансы противостоять ненавязчивому вниманию профессиональных взломщиков. |
Примечание
Атака на промышленную систему honeypot не приводит к реальному ущербу. Следовательно, за ее "взлом" нельзя привлечь к уголовной ответственности, предусмотренной статьями 272, 273, 274 Уголовного Кодекса РФ. В лучшем случае (не для взломщика) это действие можно трактовать как приготовление к преступлению по статье 30 УК РФ. Так что логи honeypot следует рассматривать лишь в качестве дополнительного доказательства виновности злоумышленника при нанесении им материального вреда настоящим компьютерным системам.
То же касается и сканирования сетевых систем (определения доступных сервисов, их типов и версии) - само по себе это действие не подсудно.
Для проведения эксперимента при помощи Honeyd была создана небольшая виртуальная сеть: маршрутизатор Cisco 2621 (IOS 12.1(6)) и персоналки под управлением Linux Red Hat 7.3 (ядро 2.4.18), FreeBSD 5.0, OpenBSD 3.0, Windows 98SE, Windows 2000 Professional. Список сервисов приведен в таблице. (см. след. страницу)
ПримечаниеОбратите внимание, имитация хоста Windows 2000 Professional уже "заражена" сетевым червем Lovesan. Осталось только подключиться.
Для проведения эксперимента были выбраны сетевые адреса, длительное время не использовавшиеся, что позволило свести к минимуму процент случайных обращений ("ой, это я по старой ссылке зашел"). Обнаружить экспериментальные хосты можно было только специальными методами исследования сетей - сканированием. Традиционно считается, что обычные "сетяне" этими методиками не пользуются. При подключении к сервисам выводилось текстовое сообщение (разумеется, там, где такая возможность предусмотрена) об ответственности за несанкционированное использование ресурсов или попытку взлома. Если это не останавливало любознательного гражданина, то, в свою очередь, начинали собираться доступные данные о нем самом, для чего были задействованы сетевые сканеры nmap, amap и xprobe2, а также сетевая система обнаружения вторжений snort. При помощи сканера xprobe2 определялись тип и версия операционной системы хоста, откуда велось исследование или предпринималась попытка взлома приманки. Сканер nmap собирал информацию об открытых сетевых портах нападающего хоста, а сканер amap на основе полученных данных определял типы доступных сервисов. Система обнаружения вторжения snort расширила реализованный в Honeyd механизм документирования действий нападающего сбором информации о деталях реализации сетевых атак.
Для определения уязвимости сетевой защиты и сервисов следует использовать специализированное программное обеспечение - сканеры безопасности (сканеры вторжения). При исследовании выбранной системы сканер безопасности определяет доступные сетевые сервисы. Затем, применяя методы хакерских атак, анализирует устойчивость сервиса к взлому. При определении типа и версии сервиса сканер совершает атаку, нацеленную на специфичную для данного сервиса уязвимость. Хотя методики, применяемые сканером безопасности, предназначены только для проверки факта существования уязвимости сервисов, а не их реального взлома, подобное тестирование может вызвать сбой в работе или зависание исследуемой системы. Возможны также случаи ложного обнаружения, когда сканер сообщает об уязвимости, которой на самом деле нет.
По результатам проверки составляется отчет. В него включается описание всех обнаруженных недостатков исследованной системы, как явных, так и потенциальных, а также их анализ и рекомендации по устранению. Помимо персональных сканеров безопасности, устанавливаемых на компьютер, например, таких как ISS IS (Internet Scanner), SSS (Shadow Security Scanner), Nessus, можно воспользоваться услугами онлайновых сканеров на веб-ресурсах VOID.ru, COTSE.com или SygateTech. |
Данные собирались в течение десяти дней. Представим проанализированные результаты эксперимента в виде списка кратких тезисов:
- хост обнаруживается злоумышленниками в течение 5–6 минут после включения;
- в течение трех часов все хосты и все сетевые сервисы были атакованы;
- средняя длительность атаки - несколько секунд;
- плотность атак не зависела от времени суток;
- иногда перед нападением проводилось сканирование всех хостов сети, а иногда атака была направлена только на какой-то один произвольный хост;
- между сканированием и атакой могло пройти несколько дней, но обычно атака следовала сразу же;
- большинство взломщиков интересовал только определенный тип сетевого сервиса;
- самыми привлекательными для взломщиков оказались сетевые ресурсы Windows-систем (DCOM RPC, netbios-ssn и т. п.) - 64% атак; следующие по значимости цели - почтовые (в основном, работа спамеров) и веб-серверы, 23% и 9%, соответственно;
- значительная часть атак была проведена с Windows-хостов - 57%, но следует учесть, что предположительно три четверти из них были заражены сетевыми червями (Lovesan, Welchia, CodeRed), инициировавшими эти атаки. Следующие по распространенности среди атакующих операционные системы FreeBSD - 26% и Linux - 12%;
- и в заключение, далеко не всегда защита самих взломщиков была идеальна.
Приведу также несколько цифр для любителей статистики.
За время эксперимента было отмечено 2359 сетевых инцидентов. В среднем, за сутки регистрировались различные атаки со 184 уникальных хостов, а за весь период были зарегистрированы попытки взлома с 1143 уникальных хостов. Суммарный объем трафика нападающих составил примерно 130 Мбайт; из них 53 Мбайт приходится только на два инцидента (попытка взлома DNS-сервера и службы Windows - microsoft-ds).
Разумеется, результаты говорят только о статистике атак, а не отражают показатели надежности той или иной операционной системы.
Примечание
Логично предположить, что условие "неизвестности" сетевых адресов, использованных для эксперимента, повлияло на результаты. На известные сетевые ресурсы (например, веб-серверы), проводится больше целенаправленных атак.
Следует также добавить, что предметом интереса начинающих взломщиков являются не какие-либо корпоративные сетевые ресурсы, а адреса интернет-провайдеров, под которыми работают машины, подключившиеся по модемным соединениям. Степень их защищенности обычно очень низка. Защиту (если здесь вообще применимо это слово) легко взломать и похитить данные о логине и пароле для подключения к интернет-провайдеру. Довольно часто такой "хакер", подключившись к тому же провайдеру, часами сканирует других клиентов, взламывая и собирая их данные. Ни о каком "высоком искусстве взлома" здесь не может быть и речи, это тривиальное воровство. Но вообще-то, таких "взломщиков" и ловят чаще всего.
Эксперимент закончен. Данные проанализированы. Владельцы интернет-ресурсов, с которых были произведены атаки, поставлены в известность. Пора подводить итоги.
Из анализа собранной информации легко прийти к заключению, что интернет - достаточно агрессивная среда. Но реальная опасность сетевого вторжения, как и агрессивность пираний, часто преувеличивается. Туземцы изучили особенности поведения этих рыб-хищников. Они спокойно купаются в реке в сезон дождей и не торопятся входить в воду в засуху. Соблюдая эти простые правила безопасности, индейцы спокойно живут рядом с Амазонкой, рассказывая за пару монет страшные сказки туристам. Так и в интернете соблюдение простых правил безопасности (брандмауэр + антивирусная защита + обновленное программное обеспечение + немного здравого смысла) поможет значительно повысить защищенность сетевой системы. А от трагических случайностей и от внимания профессионалов и кайманов не застрахован никто.
Интернет-ресурсы
[1] Amap www.thc.org
[2] COTSE www.cotse.com
[3] Honeyd www.honeyd.org
[4] Honeyd for Windows www.securityprofiling.com
[5] HoneyNet www.honeynet.org
[6] ISS IS www.iss.net
[7] Nessus www.nessus.org
[8] Nmap www.insecure.org
[9] SSS www.safety-lab.com
[10] Snort www.snort.org
[11] SygateTech scan.sygatetech.com
[12] VOID.ru www.void.ru
[13] Xprobe www.xprobe.org