100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материала

Документы

Содержание Миф №96 «В Интернете можно однозначно идентифицировать атакующего»27.12.2010 00:54 Cisco Security Intelligence Operations Изменение заголовка пакета Анонимайзеры и ремейлеры Использование чужих компьютеров

Подобный материал:

• Аннотация, 418.67kb.
• Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
• Система менеджмента информационной безопасности, 205.89kb.
• Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
• Содержание курса. Урок, 902.96kb.
• Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
• Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
• «Комплексные системы информационной безопасности», 260.23kb.
• Вопросы по информационной безопасности, 268.68kb.
• Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.

Миф №96 «В Интернете можно однозначно идентифицировать атакующего»27.12.2010 00:54

Спокойный анализ портала по безопасности Cisco Security Intelligence Operations было прервано звуковым сигналом, который дал знать администратору, что управляемый им межсетевой экран обнаружил несанкционированное действие. Увидев мигающую иконку на экране монитора и щелкнув на ней мышью, администратор погрузился в строки символов, характеризующих адрес злоумышленника. «Ну вот ты и попался, голубчик», - про себя сказал администратор, который вот уже вторую неделю безуспешно пытался обнаружить хакера, пытающегося вломиться в корпоративную сеть банка. Однако при ближайшем рассмотрении все оказалось не так просто.

Попытка определить, кому принадлежит данный адрес с помощью сервиса whois показал, что это американский университет DePaul в Чикаго. Обращение к администратору университета не внесло ясности, а еще больше запутало. По его словам, в указанный момент времени (даже с учетом разницы в часовых поясах) с указанного IP-адреса никаких действий не осуществлялось. И вообще, в это время в Чикаго была ночь и университетский вычислительный центр был закрыт.

Такое обескураживающее сообщение показало администратору атакованной сети всю сложность его положения и заставило призадуматься. Выходило, что сеть была атакована не неопытным юнцом, а достаточно квалифицированным хакером, который знал «как» осуществлять подмену адреса.

Мне можно возвразить, что так делают не все. Да, не все. Существует огромнейшая категория пользователей, называющих себя настоящими хакерами, но таковыми не являющимися. Для них даже придуман специальный термин «script kiddies», что означает любителей, использующих готовые средства реализации атак, не понимая сути их действия. Получив какую-либо программу для взлома, они сразу задают в ней адрес банка, не выдавшего кредит, насолившего им работодателя или просто случайного компьютера и приводят ее в действие. Если видимого результата нет, то они переходят к следующему адресу и т.д. На такую удочку попадаются только неискушенные администраторы, не следящие за защищенностью своей сети. Мы же будем исходить из худшего. В данном материале я хотел бы кратце описать способы сокрытия своего реального адреса, используемые злоумышленниками. Но привожу эти описания я не с целью их использования на практике, а с целью демонстрации распространенного заблуждения, что обнаружить злоумышленника в Интернет легко. Это очень нелегко. Как с технической, так и с юридической точек зрения.

Подмена адреса – это общее название методов, использумых злоумышленников для скорытия своей активности. Большинство из них организовывают свои атаки с промежуточных серверов, которые они уже взломали, с proxy-серверов или иными способами, описываемыми ниже. Таким образом, найти того, кто вас атакует, будет очень трудно. И именно с этим связано не очень большое количество «хакерских» дел в судах и именно поэтому правоохранительные органы не очень любят такие дела расследовать.

При этом, активное блокирование атак на основе адреса с помощью межсетевых экранов, фильтров на маршрутизаторах и других устройствах может привести не то, что к положительному результату. Скорее возможна обратная реакция. То есть вы заблокируете не злоумышленника, а вполне реальный адрес (возможно, принадлежащий вашему клиенту или партнеру), которому необходим доступ к вашим информационным ресурсам и который был использован злоумышленниками. Такие примеры в российской практике были – с IP-адресов клиента банка якобы реализуются DDoS-атаки против системы ДБО, на которые срабатывает система защиты, которая блокирует доступ клиента к банку через Интернет. И на время этого блокирования (пока клиент и банк разберутся, что да как) злоумышленники снимали денежные средства со счета ничего не подозревающего клиента.

Изменение заголовка пакета

Существующая версия протокола IP, на базе которого построен Интернет, является очень незащищенной, о чем известно практически с момента появления текущей, 4-ой версии протокола IP. Именно эта незащищенность и используется злоумышленниками для своих атак. Простое изменение поля «адрес источника» (Source Address) в заголовке IP-пакета приводит к тому, что во всех журналах регистрации фиксируется именно этот адрес, а не реальный адрес, с которого осуществлялась атака. Именно этот механизм используется при реализации атак типа «отказ в обслуживании». По статистике около 95% всех DoS-атак осуществляется именно с подменой адреса в заголовке IP-пакета.

Однако у данного механизма есть существенный недостаток, который не влияет на реализацию однопакетных атак, но становится непреодолимой преградой при реализации многопакетных атак или вторжений (а именно они сегодня являются наиболее распространенными). Если хакер меняет адрес источника в сетевом пакете, то атакуемый узел будет отвечать не на реальный адрес атакующего узла (ведь он его не знает), а на адрес, указанный в заголовке IP-пакета. Именно поэтому реализация вторжений с подменой адреса в заголовке возможна только для атак, состоящих из одного сетевого пакета, или в том случае, если атакующий и атакуемый находятся в одном физическом сегменте сети. Существует и еще два редких случая, когда возможна подмена адреса. В первом случае злоумышленник должен находиться на пути между атакуемой стороной и узлом, чей адрес используется в подменяемом пакете. Во втором случае, злоумышленник может попытаться угадать определенные характеристики заголовка IP-пакета, чтобы вести «переговоры» с атакуемым узлом, не видя его ответов. Но это уже высший пилотаж, который сегодня «не в моде».

Однако и сбрасывать со счетом такой метод нельзя. Он очень часто используется для генерации ложного трафика, в коором скрывается реальная атака. Злоумышленник создает большое число фальшивых пакетов и посылает их жертве наряду с пакетом, содержащим реальный адрес. Представляете всю сложность ситуации? Администратор, анализируя журналы регистрации, видит сотни и тысячи адресов, с которых зафиксировано обращение к защищаемым ресурсам. Разобраться, где реальный адрес, а где сфальсифицированный очень трудно (а в ручном режим без применения автоматизированных инструментов вообще невозможно). За это время злоумышленник сможет сделать свое черное дело, оставив администратора «в дураках».

Proxy

Proxy, он же прокси, он же посредник, - это система, которая все запросы одного абонента пропускает через себя и заменяет адрес этого абонента на свой собственный. В этом случае в журналах регистрации сетевого оборудования и средств защиты сохраняется не реальный адрес хакера, а адрес прокси, через который этот злоумышленник пришел. При этом, для усложнения своего обнаружения, злоумышленники очень часто используют цепочку промежуточных узлов, проигрывая в скорости соединения с атакуемым узлом, но выигрывая в анонимности.

Найти прокси в сети Internet не составляет большого труда. Задав на Яndex’е в строке поиска фразу «список анонимных серверов» я получил большое число необходимых ссылок. Причем уже десятая ссылка на первой выданной поисковой системой странице содержала список из более чем 900 анонимных прокси-серверов. Разумеется часть этих серверов уже не функционирует, часть стала предоставлять свои услуги за деньги, но найти один работающий сервер в этом списке не составляет большого труда.

Если же эти прокси-сервера находятся в разных государствах, то найти реального злоумышленника практически невозможно по причине полного несоответствия процедуры расследования преступлений в сфере высоких технологий современным требованиям. Только представьте, что решившись обратиться в органы внутренних дел, вы столкнетесь с тем, что сотрудник ОВД перенаправит запрос в Следственный комитет при МВД; тот в российское отделение Интерпола; затем в отделение Интерпола в стране-нахождения прокси-сервера; и, наконец, в местную полицию. А потом по той же цепочке обратно. Обмен документами происходит на языке той страны, в которой находится подозреваемый. В итоге на обмен документами уходит не одна неделя. А теперь представьте, что таких прокси серверов в разных странах несколько…

Анонимайзеры и ремейлеры

Анонимайзер – это аналог прокси, только с более широким толкованием. Обычно под прокси понимается сервер, который подменяет IP-адрес абонента на свой собственный. А анонимайзер просто удаляет адрес абонента из заголовка запроса. Наиболее часто анонимайзеры используются для отправки анонимных писем. Однако есть примеры и Web-анонимайзера, с помощью которого можно путешестовать по Web-серверам, не боясь «наследить» в журналах регистрации.

Один из самых известных анонимайзеров – сервер www.anonymizer.com. Именно этот сайт в свое время был Меккой всех хакеров, желающих скрыть свои темные делишки, а также сотрудников, которые не хотели, что их боссы знали, на что тратится рабочее время. Со временем, из бесплатного ресурса anonymizer.com превратился в коммерческую компанию, которая предлагает своим пользователям ряд платных и бесплатных услуг. Помимо данного ресурса существует и ряд менее известных, но не менее функциональных ресурсов. Например, @nonymouse.com, который обеспечивает анонимный серфинг по Web, анонимную электронную почту и анониманое чтение списков новостей.

Не всегда у хакеров есть возможность посетить прокси-сервер или анонимайзер. Если вся несанкционированная деятельность осуществляется с работы, то доступ к таким серверам может быть заблокирован. Кроме того, не стоит оставлять в журналах регистрации периметровых средств защиты следы своих деяний. Желательно, чтобы анонимный доступ в Internet начинался уже с самого компьютера, за которым сидит хакер.

И компания Anonymizer.com предложила такую возможность, разработав специальный модуль Privacy Button, который интегрируется в броузер и представляет собой новую кнопку на панели броузера, нажав на которую пользователь получает ряд интересных возможностей:

• Защита от cookies.
  
• Шифрование адреса запрашиваемого ресурса.
  
• Фильтрация рекламных баннеров.
  
• Возможность посылки анонимной электронной почты.
  
• Скрытие IP-адреса от посещаемых Web-серверов.
  
• Защита от Java, ActiveX и т.д.
  

Анонимайзеры обычно предназначены для скрытия Web-активности, а как быть с электронной почтой? Ведь по загаловку всегда можно отследить, с какого компьютера было послано сообщение. Для решения этой проблемы злоумышленники пользуются также разнообразными инструментами, одним из которых является ремейлер. Что такое ремейлер (remailer)? Переводится это просто – перенаправитель (ретранслятор) электронной почты. Вы отправляете свое письмо, соответствующее определенным правилам, на адрес ремейлера, а уж доставить ваше письмо до нужного вам адресата – это задача ремейлера. При получении такого письма в заголовке указан не ваш настоящий адрес, а адрес ремейлера.

Использование чужих компьютеров

Использование чужих компьютеров ничем не отличается от применения прокси за одним небольшим исключением. Прокси заранее запрограммирован для решения этой задачи, а чужой компьютер взламывается специально для этого. Хакер осуществляет поиск незащищенных или слабо защищенных узлов, взламывает его, размещает какую-либо специальную программу или обычного троянца и все дальнейшие действия осуществляет через него.

Именно данный метод сегодня является самым распространенным. Злоумышленники выискивают уязвимые компьютеры, внедряют на них вредносный код и создают из сотен и тысяч таких компьютеров т.н. ботнеты (botnet), члены которых получают в нужное время команды из центра управления. Я уже писал про троян Zeus, который крадет реквизиты доступа к Интернет-банкам. Это яркий пример использования чужих компьютеров для совершения противоправных действий, автор которых до сих пор не найден.

Заключение

Так ли все плохо, как я описал. К сожалению да. В теории бороться с нелегальной анонимностью в Интернет можно. Но требует это колоссальных и согласованных усилий многих участников, как на уровне государств, так и на уровне операторов связи. Это и решение вопросов быстрой координации правоохранительных органов разных стран, и создание соответствующией инфраструктуры обнаружения атак и реагирования на инциденты, и внедрение протокола IPv6 и системы глобальной идентификации и аутентификации, и повышение уровня защищенности Интернет-ресурсов и, конечно же, рост грамотности и осведомленности пользователей в вопросах информационной безопасности. Но все это непросто и требует совершенно иного подхода, чем тот, который реализуется сейчас. А значит злоумышленники и дальше будут оставаться необнаруженными…