Дебора Рэдклифф
(Deborah Radcliff)Надежна ли защита у вашего Internet-провайдера?
Web-серверов становится все больше, и компаниям, доверяющим важную информацию службе Web-хостинга (предоставления в аренду Web-узлов), в первую очередь следует выяснить, какие средства защиты использует тот или иной Internet-провайдер. Все ISP (Internet Service Provider) утверждают, что надежно защищают информацию клиентов от чужих глаз, однако на поверку применяемые меры безопасности могут оказаться не столь надежными, а ценная информация на корпоративных Web-узлах становится достоянием хакеров.
Кто лучше других сможет выследить и поймать хакера? Такой же хакер. Так решил один Internet-провайдер, предоставляющий в аренду Web-узлы, называть которого мы не станем. И тогда он пригласил хакеров, известных под кличками Мадж и Велд, из бостонской группы l0pht, чтобы проанализировать случай незаконного вторжения.
Эта парочка выяснила следующее. Некий злоумышленник обнаружил, что в одной из компаний, входящих в список Fortune 1000, которая была клиентом данного ISP, установки по умолчанию оказались плохо сконфигурированными. Чем он и воспользовался, заложив "ловушку" в Web-сервер.Нападавший проследил действия системного администратора компании-жертвы, когда тот входил на Web-сервер, чтобы проверить некоторые файлы. Слишком торопясь вернуться в корпоративную локальную сеть, он не воспользовался "logoff", а набрал свой пароль, проделав, таким образом, "дыру" в брандмауэре. С помощью общедоступной программы-"нюхача", которая считала пароль администратора и его идентификационный номер, злоумышленник обеспечил себе электронную идентичность с администратором, а затем прошел его путем к главному серверу корпораций.
Неясно, что именно было целью хакера - украсть исходные коды, исполняемый модуль программы или просто ощутить радость победы. Очевидно лишь, что его действия - простейший сценарий, пользуясь которым, можно обойти брандмауэры и другие средства защиты ISP, чтобы нанести ущерб их клиентам. Так считает Мадж, который вместе с Велдом и другими членами группы l0pht поставил свой опыт хакерства на службу исследованию и тестированию систем.
"Большинство крупных Internet-провайдеров, предоставляющих бизнес-службы, утверждают, что они внимательно относятся к вопросам защиты, однако в основном это только слова, - утверждает Мадж. - Мы провели аудит очень крупной компании, специализирующейся в области Internet-служб, и обнаружили, что защита в ней отсутствует. Имелись незакрытые "дыры" и в операционной системе. Отсутствовала фильтрация. Поскольку этот ISP, обеспечивающий обслуживание совместно используемых серверов, разрешал пользователям входить в систему без шифрования, мы смогли взломать соединения и получить контроль над компьютерами".
Кредо хакера: информация - это сила. Если компания хранит какие-либо ценные сведения на Web-серверах, расположенных у Internet-провайдера или в центре Web-хостинга, следует весьма тщательно изучить, какова политика безопасности соответствующего ISP. Даже если информация на Web-сервере не представляет большой ценности, нужно учитывать: в результате действий хакеров возможны отказ в обслуживании, в поддержке Web-страниц, а также прорыв злоумышленника к тому, что Мадж и его коллеги называют "самой вкусной начинкой", - к центру локальной сети.
Опасность всегда рядом
Все больше компаний перекладывают заботу по обеспечению своих потребностей по поддержке торговли через Internet на плечи бизнес-служб Internet-провайдеров или центров обслуживания Web-хостинга. Серверы, находящиеся за пределами служб Web-хостинга, стали наиболее заманчивыми мишенями для пронырливых хакеров, которые выуживают информацию до тех пор, пока не найдут лазейку. И таковая чаще всего обнаруживается в неправильно сконфигурированном брандмауэре или маршрутизаторе.
Что делают злоумышленники, пробравшись в компьютер, зависит от архитектуры сети. И здесь наиболее уязвимыми оказываются структуры, в которых серверы используются совместно несколькими компаниями. По словам Велда, в таком случае, вломившись в какой-нибудь компьютер, вы сразу же "получаете" всех клиентов.
Узнав имена и пароли пользователей, хакеры с помощью средств взлома проверяют их по "словарю" известных паролей, обнаруживая определенные соответствия используют для присвоения прав администратора. Джон Хэнкинс, директор служб Web-хостинга компании GTE, считает наилучшим способом защиты совместно используемого сервера установку коммутатора на каждом его порте. Тогда каждому предприятию-клиенту становится доступной лишь часть полосы пропускания общего канала, что может предотвратить захват паролей пользователей. Такова практика, которой придерживается и компания GTE.
Еще лучше - применять коммутаторы, обеспечивающие фильтрацию, т. е. строгий контроль за трафиком между компьютерами и соединениями. Однако стоимость фильтрующих коммутаторов составляет 400-500 дол., нефильтрующих - около 100 дол., а специальных сетевых процедур - какие-то центы, поэтому многие мелкие Internet-провайдеры не используют фильтрующие коммутаторы. "GTE говорит о 32 портах на один концентратор, что означает большие деньги, - поясняет один из хакеров-аудиторов. - Не стоит рассчитывать на то, что ваш провайдер не захочет съэкономить".
Информационная фирма OneSourse с оборотом 10 млн дол. считает эти затраты необходимыми и оправданными. Сейчас она занимается переносом своего достояния - стратегической информации, предназначенной для продажи деловым и финансовым клиентам типа Bank of America и Oracle, - на 20 выделенных серверов, которые будет обслуживать компания GTE. "Наши исследования показали, что многие Internet-провайдеры имеют брандмауэры, и ничего кроме них", - поясняет Марк Ван Дайн, вице-президент по технологическому оснащению OneSource.
Почти все они имеют довольно смутное представление об атаках, которым подвергались, и утверждают, что им ничего не известно о действительных вторжениях в их сети. Именно этого и добиваются нападающие. "Хорошие хакеры действуют на чужих машинах, не выдавая себя", - утверждает Йоби Бенджамин, главный директор по базам знаний консалтинговой компании Cambridge Technology Partners.
Хотя ощущение защищенности обманчиво, клиенты ISP на деле обеспокоены несколько иными проблемами, которые можно наблюдать визуально (например, злонамеренным повреждением Web-страниц или заменой их содержимого на порнографическое, расистское и др.). Роб Тобиас, Web-мастер и директор по маркетингу компании Mixman Technologies, занимающейся продажей через Internet музыкальных компакт-дисков на двух совместно используемых серверах, которые обслуживаются фирмой Best Internet, считает большой неприятностью вторжение на открытый сервер компании и умышленное искажение Web-страниц. В подобных случаях хакеры получают доступ к функциям чтения/записи, используя пароль клиента.
Маленькие секреты
История помнит, как в 1997 году подверглись изменениям сотни Web-страниц, причем в некоторых случаях это вызвало резкие отклики в прессе. Например:
- на странице ЦРУ название управления было изменено на Central Stupidity Agency (Центральное агентство глупости), а ее связи были переадресованы на адресную страницу журнала Playboy;
- компании CyberPromotions сильно досталось за ее приверженность к большому количеству "рекламного мусора";
- на конференции Defcon хакеры поместили карикатуры на киностранице Hackers компании MGM/UA.
Еще один тип неприятных атак называется "отказ в обслуживании". В этом случае нападающие загружают серверы или маршрутизаторы слишком большим количеством запросов на исполнение (так называемое PING-заполнение). И тогда в какой-то момент серверы останавливаются и прекращают обслуживать клиентов, что может дорого обойтись таким фирмам, как Mixman, которая ежемесячно продает компакт-дисков в среднем на 750 тыс. дол.
В июне 1997 г. Web-страница компании Microsoft стала жертвой несколько модифицированной атаки типа "отказ в обслуживании". Хакеры использовали "дыру" в ее сервере Internet Information Server и зациклили Web-узел. В результате, служба Microsoft не работала в течение нескольких дней - пока не была создана "заплата". (Заметим, что Microsoft публично объявила, что служба была недоступна для клиентов всего около 10 мин, пока сервер останавливали и перезагружали).
По результатам неофициального анализа, проведенного хакером se7en, в 1997 г. были успешно атакованы около 360 Web-узлов. Многих инцидентов можно было бы избежать при использовании новых приложений для мониторинга, называемых средствами обнаружения вторжений. Правильно сконфигурированное средство способно идентифицировать атаки разного типа (PING-заполнение, "отказ в обслуживании", вторжения в сеть, перехват паролей и т. д.) и предупреждать о них администратора. К числу ведущих производителей средств детектирования вторжений относятся Internet Security Systems (http://www.iss.net), Axent Technologies (http://www.axent.com) и WheelGroup (http://www.wheelgroup.com).
"Не существует стопроцентно безопасной среды, - утверждает Дэвид Вандернаалт, директор служб конечных пользователей ассоциации International Computer Security Association, - поэтому Internet-провайдеры должны быть начеку, ожидая атак. И именно поэтому так важны средства выявления вторжения".
К сожалению, ISP и службы хостинга непоследовательны в решении проблем, связанных со вторжениями. Компания GTE, например, осуществляет мониторинг своей сети и выявляет необычную активность с помощью приложений собственной разработки, останавливая атаки на входе в сеть. Internet-провайдер Best Internet Communications не использует никаких средств мониторинга - в этой компании полагаются на администраторов, которые должны регулярно проверять log-файлы системы.
Большинство компаний рассылают свои данные по Internet, используя стандартный протокол FTP, который хакеры Мадж и Велд считают небезопасным и неуклюжим. "Протокол FTP был написан как быстрый "клюг" (хитрый программный трюк) еще в те дни, когда в сетях насчитывалось не более 10 машин", - говорит Велд. В целях безопасности Мадж предлагает избрать менее наезженную дорогу и применять не FTP, а Secure Copy Protocol, который является частью сетевого протокола Secure Shell (http://www.ssh.net). Можно также использовать протокол HTTP, поддерживающий шифрование по стандарту Secure Sockets Layer (SSL). Поинтересуйтесь у своего провайдера или службы хостинга, обеспечиваются ли такие возможности.
Киллалеа и Скотт Маркл, менеджер консорциума по защите ISP ассоциации International Computer Security Association, разработали вопросы, которые следует задавать предполагаемому провайдеру.
- Проводит ли он проверки защиты? Если да, то каковы их результаты?
- Как отделены друг от друга предприятия на совместно используемых серверах? (По мнению Киллалеа, многие ISP даже не пытаются ввести такое разделение.)
- Какова конфигурация сети? Где находятся брандмауэры? Можно ли установить второй брандмауэр на входе?
- Какие типы шифрования и аутентификации поддерживаются?
- Обеспечивается ли непрерывное резервное копирование с избыточностью для предотвращения непредвиденных ситуаций?
- Каковы типы установленных физических средств защиты? Как защищены информационные центры? Имеют ли они надежную охрану?
Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты
Copyright © 2001 Crime-Research.org . Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на Crime-Research.org обязательна.