Безопасность IIS
Инструменты
Методы разведки и сканирования показывают, что можно стать жертвой хакера, который затратил совсем немного времени и усилий на подготовку к атаке. Инструменты взлома выполняют за хакера всю основную работу.Совет. Опытные хакеры презрительно относятся к хакерам-любителям, так как любители беспрепятственно пользуются программными продуктами, на создание которых было затрачено много усилий со стороны "продвинутых" взломщиков.
В таблице 1.2 приведен краткий перечень некоторых универсальных средств и инструментов сканирования, используемых хакерами. Косвенно они являются и средствами защиты в случае их использования для выявления слабых мест системы. Некоторые инструменты взлома основаны на платформе UNIX, что устраивает многих хакеров. В лекции 7 обсуждается использование средств Windows для проведения экспериментов, направленных на выявление "прорех", прежде чем их обнаружит злоумышленник.
| fping (Unix) Grim's Ping (Win 2000) | Отправка одиночных ping-запросов или параллельная отправка массовых ping-запросов циклическим образом | http://www.fping.com http://www.networ-kingfiles.com//PingFinger/Grimsping.htm |
| Nmap | Сканирование сети для определения доступных систем и служб, используемых операционных систем | http://insecure.org/nmap/ |
| Winscan | Сканирование портов TCP и UDP, обнаружение и отслеживание служб, работающих в системах Windows NT 4.0 и Windows 2000. | http://www.prosolve.com/software/ |
| LC3 (LOphtcrack) | Получение паролей из отдельных рабочих станций Windows NT и Windows 2000, сетевых серверов, главных контроллеров домена или из программы Active Directory | http://www.@stake.com |
| Nessus | Аудит сети и определение всех уязвимых мест защиты, запуск эксплоитов, отчет об успехе работы каждого эксплоита | http://www.nessus.org |
| Ethereal | Этот сниффер Ethernet прост в использовании и предназначен для интерактивного просмотра захваченных данных, вывода отчета и подробной информации о каждом пакете данных | http://www.ethereal.com |
| Whois | Утилита, определяющая веб-адрес и адрес сервера хранилища учетных записей домена, в котором содержится полная контактная информация | http://www.internic.net/whois.html |
Источники
Червь Code Red стал ярким примером того, как сильно подвержен сервер различным атакам в интернете. Вы, вероятно, слышали о корпоративном шпионаже, информационной войне, кибер-терроризме и организованной преступности в сети. Будьте уверены, в интернете существует множество настоящих "плохих парней"!Важно. Угрозы существуют как внутри организации, так и вне ее. Не тратьте много сил и ресурсов на защиту от внешних угроз, не обезопасив себя от потенциальных злоумышленников внутри организации.
Согласно сведениям ФБР администраторы безопасности часто не замечают, что компьютерное преступление совершается сотрудниками организации. Недостаточная защита от внутренних угроз может дорого стоить. Представьте себе, что сотрудник, пусть даже случайно, получил доступ с внутреннего сайта к конфиденциальной информации о заработной плате, например, из-за неправильного указания разрешений для каталога. Нужно ли рассказывать о том, какой ущерб может нанести недовольный или нечестный сотрудник, похищающий данные? Несомненно, что угроза бизнесу и потребность в хорошей защите являются серьезной проблемой для внутренней сети.
Эксплоиты
После успешного исследования целевых узлов хакер инициирует атаку с помощью специальной программы-эксплоита (exploit). Если целью атаки является отказ в обслуживании, то результат, скорее всего, не заставит себя долго ждать. В противном случае хакер запустит программу крекинга или переполнения буфера, которая позволит ему проникнуть в систему. Иногда хакер использует веб-сайт в качестве отправной точки для проникновения в другую систему. Интернет-атака, направленная на базу данных, является примером такой атаки.Хорошо спланированная направленная атака более сложна, нежели среднестатистическая универсальная атака. Нередко первое проникновение хакера в систему является лишь этапом сложного плана по длительному нахождению в системе-жертве. По этой причине среди хакеров распространено размещение в системе программы типа "троянский конь" или "черный ход" для захвата данных и упрощения повторного проникновения в систему.
Категории атак
Угрозы безопасности для веб-сайта делятся на несколько категорий атак. Атаки, влияющие на доступность и надежность сайта, называются атаками на отказ в обслуживании (Denial of Service – DoS). Атака Code Red – хороший пример атаки DoS. Другие атаки выполняют действия с содержимым и данными сайта, с их помощью злоумышленники пытаются повредить, похитить, изменить, удалить или разместить информацию на сайте. Такие атаки называются атаками на взлом или крекингом (cracking).Хакерство (hacking) – это термин, означающий как атаки DoS, так и атаки на взлом. Для справки ниже приведены определения атак по категориям, взятые из глоссария терминов Администрации национальной безопасности (Natoinal Security Administration) (см. Приложение A).
Термин "атака", как правило, используется для описания хакерских действий. В категории злоумышленных действий "DoS" и "крекинг" входят различные типы атак.
Совет. Некоторые работники сферы информационных технологий утверждают, что хакерство значительным образом отличается от крекинга, так как мотивы хакеров (в отличие от крэкеров) не являются вредоносными. Они считают, что хакеры помогают потенциальным жертвам обнаружить пробелы в защите, что позволяет усилить безопасность. Мы согласны с тем, что уровень обеспечения безопасности вырос, так как руководители организаций уделяют больше внимания защите своих продуктов. Мы дали лишь общее определение хакерства, которое, как нам кажется, не подлежит критике.
Методология взлома
Первое, что необходимо знать про хакеров, – это то, что они хорошо вооружены. Многие хакеры осуществляют расширенные исследования, занимаются самообучением, экспериментируют с известными дефектами в популярных компьютерных программах и открывают в них новые "бреши".Серьезные взломщики распространяют свои знания среди менее опытных хакеров, публикуя в интернете статьи, сообщения в новостях, технических форумах и конференциях, передавая информацию "из уст в уста". Большая часть информации представляет собой совершенно законные исследования, проводимые в "мирных" целях. Но разве можно быть уверенным в правильном использовании этой информации?
На рисунке 1.2 изображена страница, взятая из сайта о хакерстве Antionline.com, со списком доступных информационных ресурсов на тему взлома.
увеличить изображение
Рис. 1.2. Страница, взятая с сайта Antionline
Находясь в обществе хакеров, взломщики имеют доступ к большому числу инструментов взлома и сценариев, значительно упрощающих их действия. Microsoft IIS, Windows 2000 и Windows XP представляют собой удобные цели, поэтому многие инструменты взлома направлены именно на эти платформы. Они автоматически находят доступные компьютеры, взламывают пароли, прослушивают сетевые пакеты и используют известные уязвимые места.
Методы направленных атак
В отличие от универсальной атаки направленная атака (targeted attack) нацелена на конкретную организацию. С ее помощью хакер осуществляет ряд подготовительных действий и исследований перед нанесением основного удара. Взломщик, целью которого является ваша сеть, использует различные инструменты универсальных атак, но в этом случае атака планируется и производится в несколько этапов, с особой осторожностью, не обнаруживая разведывательных действий, направленных на сбор информации, которая поможет реализовать атаку.Методы скрытия
Опытные хакеры, особенно те, кто осуществляет атаки с целью финансовой выгоды, стараются скрыть свое присутствие и "замести следы". Они выполняют сканирование, ускользая от внимания сетевых администраторов и систем обнаружения вторжений (IDS). После успешного завершения нужных действий взломщики скрывают следы своего присутствия, удаляя записи в журналах и редактируя протокол аудита. Нужно ли говорить о том, насколько трудно защищаться от атак, когда вы даже не подозреваете о них?Открытый порт равносилен открытой двери
Сетевые экраны (firewalls) или брандмауэры защищают внутренние ресурсы, маскируя реальные IP-адреса компьютеров и блокируя попытки доступа к сети, инициированные извне, если только внешний пользователь не является законным и авторизованным сотрудником организации. Возможно нарушение безопасности веб-сервера при работе в интернете. В этом случае брандмауэр настраивается на предоставление канала для проникновения трафика только на веб-сервер. К сожалению, при слабой защите операционной системы Windows или веб-сервера открытие порта позволит опытному хакеру получить информацию о сетевых адресах, пользователях и директориях, которая позволит ему атаковать другие компьютеры сети.
увеличить изображение
Рис. 1.1. Типичная конфигурация сети с веб-сайтом, имеющим базу данных
Перечень угроз
Можно ли уберечь себя от атаки хакера? Возможно, что нет. Если организация добилась успеха в своей сфере деятельности, и ее корпоративная сеть подключена к интернету, то она является "лакомым кусочком" для взломщиков. Однако можно усложнить задачу хакеров. О том, как это сделать, рассказывается далее.Ниже приведен перечень угроз, о которых шла речь в данной лекции.
Политика безопасности
Помимо веб-сервера в сети присутствуют другие компьютеры, поэтому обеспечение безопасности включает в себя совместные действия всех сотрудников организации, управляющих различными системами.Нет никакого сомнения в том, что ни одна организация, обладающая большими информационными ресурсами, не обеспечит безопасность своей сети без применения политики безопасности, профилактических процедур и контрольных таблиц. В качестве защитника веб-безопасности вы должны обеспечить стабильность своей части этой политики, сделать ее руководством к действию для сотрудников и пользователей веб-платформы.
Предварительное исследование
Хакер начинает атаку с выполнения тестового опроса (ping), используя автоматизированную программу, отправляющую ping-запросы по большому числу IP-адресов для получения ответов от каких-либо узлов. При отсутствии адекватной защиты веб-сайт станет жертвой, если отправит ответ на ping-запрос. При получении ответа следующим шагом хакера будет запуск инструмента, определяющего операционную систему компьютера-респондента. После этого он узнает уязвимые места потенциальной жертвы, так как эту информацию легко найти в литературе, посвященной взлому.Примеры уязвимых мест
Все компьютерные системы зависят друг от друга, и это обстоятельство обуславливает высокий уровень безопасности сети. Сеть становится уязвимой из-за дефекта, ошибки или недосмотра в настройках веб-сервера IIS. На рисунке 1.1 показана конфигурация сети, объясняющая некоторые сценарии развития подобных событий.Проблема. Веб-приложения влияют на уровень безопасности базы данных
Еще раз обратите внимание на рис. 1.1. Веб-сайт подключен к базе данных организации (этот подход применяется на серьезных сайтах, что позволяет клиентам искать товары в каталогах или отправлять личные данные по запросу компании). Следовательно, веб-сайт подвергает базу данных риску, если он недостаточно защищен. Веб-сайты IIS нередко обеспечивают взаимодействие базы данных и клиента в интерактивном режиме посредством страниц Active Server Page (ASP). Эти страницы содержат программы для отображения полей поиска или форм для заполнения, которые преобразуют введенные данные в формат структурированного языка запросов SQL, используемого при отправке сообщений в базу данных или запросов на получение информации. Если хакер получит доступ к этой программе, он сможет создавать SQL-сообщения для просмотра или изменения записей в базе данных.Совет. Будьте внимательны! Не оставляйте на сайте уязвимые места, через которые будут атакованы другие системы. Изучите как можно больше информации, связанной с потенциальными угрозами, для построения достойной системы защиты.
Проявления угроз безопасности
Помните, как быстро распространилась вредоносная программа-червь под названием Code Red? Принципом действия этого червя было заражение одного сервера и автоматическое выполнение атак на соседние сервера, с помощью чего он распространился на тысячи и тысячи операционных систем Microsoft. Code Red заполнял веб-сервера данными и действовал настолько успешно, что произошло виртуальное отключение больших сегментов сети интернет, так как сайты переполнились огромным количеством информации, которую они были не в состоянии обработать.Червь Code Red – это лишь один из множества примеров, используемых для перегрузки, повреждения или хищения информации с веб-сайтов. Эти угрозы достаточно реальны, и веб-администраторы должны быть готовы к защите своего сайта от возможных атак и к предотвращению их последствий.
Сбор базовых сведений
Хакеры называют процесс сбора информации о сети-жертве сбором базовых сведений (футпринтингом, от англ. footprinting). Этот процесс начинается с таких тривиальных вещей, как копание в мусорных корзинах, в которые выбрасываются ненужные документы, или с попыток социального инжиниринга, направленных на выяснение архитектуры сети организации. Здесь годятся любые методы, с помощью которых хакер обеспечит себе хорошую базу, от которой оттолкнется при планировании атаки. Если взломщиком является пользователь рассматриваемой сети-жертвы, то у него, возможно, уже имеется необходимая информация.Если внешний хакер руководствуется конструктивным подходом, он систематически добывает информацию, которая поможет ему получить нужные сведения. Такой метод является асимптотическим. Взломщик использует тесты и инструменты для сбора информации и раскрывает столько неизвестных параметров (например, сетевых адресов), сколько нужно для перехода к следующему этапу атаки.
Сетевые атаки
Угрозы и атаки в интернете являются результатами действий злоумышленников, использующих технические стратегии и махинации. Эти атаки наиболее опасны, так как их может осуществить любой пользователь в любой точке мира. Например, червь Red Code появился в Китае, похититель сотен тысяч номеров кредитных карт из CD Universe действовал в России, вирус Мелисса распространен хакером из Нью-Джерси. До сих пор неизвестно (или умалчивается), откуда была осуществлена атака на веб-сайт ЦРУ. Все эти атаки были успешными, хорошо спланированными и широко преданными огласке, они нанесли огромный вред и сильно обеспокоили общественность. Помните, что такие атаки возможны и во внутренней сети!Сетевые атаки также попадают под категории "DoS" и "крекинг". Они используют ошибки в программном обеспечении, с их помощью блокируют доступ или незаконно проникают в систему. Другие атаки осуществляются через неправильную настройку системы или недосмотр администратора, основываются на захвате управления соединениями или процессами передачи данных. У хакеров имеется множество методов для достижения своих целей (см. лекцию 2). Постоянно появляются новые способы реализации атак, что катастрофически усложняет обеспечение безопасности компьютерных систем.
Во многих атаках используются готовые программы, имеющиеся в интернете, позволяющие упростить и автоматизировать атаку, поэтому хакерством занимаются даже малоопытные пользователи. Специалисты утверждают, что большинство хакерских действий осуществляется любителями просто из любопытства или в виде "невинного" озорства. Не исключено, что так оно и есть. Но это не имеет значения, если в результате атаки наносится серьезнейший ущерб или происходит отключение сайта, выполняющего важнейшие деловые операции. Мотивами хакеров также является желание заявить о себе, высказывание своего политического мнения, уклонение от финансовой ответственности и жадность. Теперь, после трагедии 11 сентября 2001 г., мы всерьез задумываемся и о проблеме терроризма.
Сканирование
После нахождения потенциальной жертвы хакер осуществляет сканирование для обнаружения на атакуемом компьютере доступных служб. С помощью инструмента, основанного на протоколах Internet Transaction Control Protocol (ITCP) и User Datagram Protocol (UDP), можно определить, выполняются ли в системе службы Hypertext Transfer Protocol (HTTP), Simple Network Management Protocol (SNMP), Post Office Protocol (POP) или File Transfer Protocol (FTP).Получив информацию посредством ping-запросов и сканирования, хакер применяет целый набор инструментов, нацеленных на определенные уязвимые места, для осуществления DoS-атаки. Если хакер выяснил адрес и имя одного из серверов, то он попытается использовать крекинг для проникновения в систему. Например, начнет проверку учетных записей, используя автоматизированные словари паролей, чтобы угадать один из них. Он может выполнить атаку на переполнение буфера посредством отправки большого количества данных, содержащих программу типа "троянский конь", которую нужно разместить в этой информационной среде.
Социальные и физические атаки
Одним из наиболее эффективных методов, применяемых хакерами и крэкерами для проникновения в защищенные паролем системы, является получение конфиденциальных данных от пользователей под видом службы технической поддержки, которая просит сообщить свой пароль. Социальный инжиниринг (social engineering) – это термин, описывающий данный тип атаки, он основан на управлении личностью человека для достижения своей цели.Некоторые атаки являются довольно незамысловатыми. Эффективной DoS-атакой является отсоединение источника питания системы или разрыв линий коммуникации. Такие атаки называются физическими атаками (physical attack), так как они направлены на физические компоненты информационной системы.
В некоторых атаках физический доступ сочетается с техническими "хитростями". Например, если злоумышленник имеет физический доступ к компьютеру, то он может перезагрузить его под другой операционной системой с помощью съемного диска и скопировать данные. Используя беспроводные сетевые технологии, злоумышленники "прослушивают" трафик сетей с помощью радиоприемников.
Сущность защиты от социальных и физических атак довольно проста: размещение компьютеров в безопасных местах и использование камер видеонаблюдения. Обучение пользователей и разработка политики безопасности позволят предотвратить социальные атаки. Об этих общих мерах безопасности мы говорить не будем. Тем не менее, проведение формальных процедур максимально снизит вероятность того, что неосторожность или безответственность станут угрозой безопасности.
Составление перечня параметров
На этапе выяснения структуры сети хакер получает информацию о домене и сетевых адресах, контролируемых организацией-жертвой, выполняя запросы баз данных домена верхнего уровня Internet Whois или Domain Name Service (DNS). Эти структуры позволяют находить серверы сети-жертвы с помощью веб-браузеров и почтовых клиентов. Таким образом, хакер получит ссылки на любой открытый IP-адрес, используемый компанией для серверов интернета или электронной почты. С помощью бесплатных или платных программ хакер сможет выяснить адреса и диапазоны IP-адресов, доступных в организации, а также провести довольно сложные исследования по определению адресов других узлов в сети-жертве.Стратегии взломщиков
Если знать методы хакеров и использование ими недостатков систем, то можно реализовать разумные решения по обеспечению безопасности. Большая часть атак направлена на слабые места оборудования, программно-аппаратных средств, операционных систем, сетевых служб и приложений. Компоненты, так или иначе связанные с интернетом, подвергаются угрозам из-за недостатков в устройствах.В таблице 1.1 приведен краткий перечень целей хакеров и типов атак. Как видите, в каждой из категорий могут использоваться DoS-атаки или крекинг для доступа к сайту, нарушения его конфиденциальности, повреждения его содержимого. Этот перечень не является исчерпывающим, но дает представление о степени серьезности описываемых угроз.
Совет. Для получения подробной информации об уязвимости программного обеспечения интернета и оборудования обратитесь к книге "Hacking Exposed: Network Security Secrets and Solutions" S. McClure, J. Scambray, G.Kurtz, McGraw-Hill/Osborne.
| Основные цели и методы атак | Взлом таблиц маршрутизаторов | Сканирование файлов маршрутизатора для получения информации о сети, необходимой для реализации атак, или изменение записей в файлах маршрутизатора для нарушения работы сети. |
| Флудинг (перегрузка) узлов, маршрутизаторов или сетевых экранов | Перегрузка сетевых экранов или серверов для замедления их работы или полной остановки из-за обработки огромного количества информации. | |
| Сниффинг (прослушивание) | Использование программного обеспечения для прослушивания сетевого интерфейса клиента, сервера или канала передачи пакетов, интересующего злоумышленника. | |
| Спуфинг (подмена пользователя) | Осуществление действий под видом пользователя (как правило, используется применительно к IP-адресам). | |
| Атаки на серверы | Взлом учетных записей и паролей операционной системы | Использование учетных записей, оставленных открытыми для доступа из интернета, в операционной системе веб-сервера и/или осуществление попыток угадывания пароля учетной записи для получения доступа к сетевым ресурсам узла. |
| Переполнение буфера | Возникновение переполнения системной памяти и реализация возможности хакера передать системе инструкции для запуска другой программы, позволяющей осуществить доступ в систему. | |
| Расшифровка URL | Получение информации о настройках веб-сервера с помощью ошибки, генерирующей некорректный URL, для идентификации и проникновения в директории с файлами. | |
| Маскарад | Разновидность подмены пользователя, основанная на имитации его поведения. | |
| Захват | "Похищение" соединения пользователя после его легального входа в систему. | |
| Атаки на содержимое и информацию | Повреждение отображаемого на веб-сайте содержимого | Получение доступа к веб-содержимому с его последующим изменением и повреждением. |
| Нарушение конфиденциальности | Получение доступа к частной или конфиденциальной информации, представляющей государственную тайну, коммерческие секреты или личные данные. | |
| Удаление файлов | Нарушение безопасности файловой системы и удаление информации с накопителя. | |
| Атаки на финансовые средства | Мошенничество | Проникновение посредством незаконной аутентификации в одной учетной записи для перемещения финансовых средств в другую учетную запись. |
| Аннулирование транзакции | Получение несанкционированного доступа к системе и удаление записи о подтверждении коммерческой транзакции. |
Сегодня информация о многочисленных методах атак и их целях доступна каждому. Основной трудностью, с которой сталкиваются пользователи при разработке методов защиты, является то, что в любой технологии, программном или аппаратном продукте, предназначенном для работы в сети или для поддержки веб-сайта, имеются потенциально уязвимые места.
Универсальные методы атак
Хакеры осуществляют атаки широкого диапазона действия (универсальные атаки), т.е. направленные не на конкретную организацию, а на большое число потенциальных жертв.Вирусы и черви попадают под категорию универсальных атак. Они направлены на различные объекты и действуют случайным образом, используя для самораспространения электронную почту и нанося значительный вред. Вирусы и черви подробно описываются в лекции 2.
При взломе используются универсальные подходы. В начале своих действий хакер нацеливается на большую группу объектов, после чего концентрирует усилия на объекте, имеющем уязвимые места. Разумеется, если атака выполняется из внутренней сети, выбор ее целевых объектов не будет случайным.
Взаимосвязь аспектов безопасности
Многие атаки направлены на сетевые маршрутизаторы и операционные системы, а не только на приложение веб-сервера. Internet Information Server 5 полностью интегрирован с Windows 2000, и если речь идет о его безопасности, подразумевается также и безопасность самой операционной системы Windows 2000. Имеют место атаки на сетевые устройства и на инфраструктуру сети, например, на сетевые экраны, маршрутизаторы, серверы или клиенты. Уязвимость этих устройств представляет собой брешь в периметровой защите, открывающей доступ к важной информации сайта.Важно. Мощность систем безопасности измеряется стойкостью их уязвимых мест. Веб-содержимое не является единственным ресурсом, подвергаемым риску в случае слабой системы защиты. В сети лучше всего применять различные меры и средства обеспечения безопасности. В лекции 6 будет рассказываться об усилении безопасности сервера с помощью средств периметровой защиты.
Задачи безопасности
В обширной, быстро меняющейся и относительно новой среде интернета невозможно обеспечить идеальную защиту. Однако можно снизить вероятность серьезных убытков или катастрофических последствий, приняв адекватные меры предосторожности. Если организация правильно защищена, то всегда возможно ее восстановление. Потенциальные потери сводятся к минимуму, если разработан план решения подобных проблем.Отсюда следует, что обеспечение безопасности включает в себя три основные задачи.
Организации необходимо иметь также план восстановления, включающий наличие дублирующих систем и изолированных резервных копий.
Зондирование
Имея на руках определенный набор IP-адресов, хакер проводит зондирование целевого объекта, сканируя его для получения дополнительной информации. Взломщики обычно используют инструмент для выдачи тестовых ping-запросов (чтобы выяснить, какие системы находятся в рабочем состоянии), инструмент для определения используемых операционных систем, а также средство сканирования портов для выявления служб, работающих на узле. В качестве альтернативы используется комплексное автоматизированное средство, такое как Nmap, однако взломщик, соблюдающий осторожность, предпочтет остаться незамеченным, используя более деликатный подход.Безопасность IIS
Большое количество открытых портов
Как легальные пользователи, так и злоумышленники подключаются к системам через открытые порты. Чем больше портов открыто, тем вероятнее, что кто-нибудь сможет подключиться к компьютеру. Следует иметь несколько открытых портов на брандмауэре, а именно: порт 80 для HTTP на веб-сервере, порты 25 и 110 для SMTP и POP. Из-за этих портов возникают проблемы, если не знать о том, что они существуют и находятся в открытом состоянии. Если оставить открытый порт незащищенным, злоумышленнику понадобится лишь средство сканирования для его обнаружения, после чего он выполнит через этот порт эксплоит, входящий в комплект хакерского программного обеспечения.Наилучшим способом избавления от ненужных портов является закрытие всех портов до единого с последующим открытием только необходимых портов по очереди при настройке системы.
Доменная система имен
Сеть интернет чрезвычайно велика, а вид IP-адреса пугает пользователей (хотя форма адреса является стандартной для компьютеров), поэтому требуется некоторая централизованная служба для успешного нахождения требуемых компьютеров. Централизованная служба имен (Domain Name System, DNS) позволяет пользователям находить информацию и отправлять сообщения электронной почты с использованием понятного для людей языка. С помощью DNS можно открыть сайт своей библиотеки, введя в веб-браузере адрес URL (Universal Resource Locator), например, www.mylibrary.com, вместо малоинформативного адреса 196.221.68.124. Можно отправить сообщения электронной почты на santa@northpole.org вместо 64.230.64.121@232.110.98.101.Совет. Имена доменов в Соединенных Штатах Америки контролируются некоммерческой организацией ICANN (Internet Corporation for Assigned Names and Numbers), являющейся полугосударственной структурой. Она также называется InterNIC. В Европе и Азии имеются собственные системы управления доменными именами.
Служба доменных имен отслеживает информацию, необходимую для поиска какой-либо системы, чтобы это не выполнял каждый отдельно взятый компьютер. Служба DNS организована в иерархию, обеспечивающую эффективность и скорость поиска адресов (см. рис. 2.2). На вершине располагается домен верхнего уровня (Top Level Domain, TLD). Все остальные домены (.com, .net и .org) ответвляются от домена верхнего уровня.
Источник проблемы
Веб-сайт подвергается атакам на взлом по ряду причин. Одной из причин является то, что коммерческое программное обеспечение, на котором построены веб-сайты, представляет собой сложные и комплексные платформы. Как и любое другое, оно иногда содержит ошибки ("баги"), которые и используются взломщиками. Другая причина заключена в самой технологии интернет-протоколов, согласно которой функционирует вся сеть интернет. При их создании изначально не учитывались вопросы безопасности. Интернет-протоколы появились в результате нововведений, усовершенствований, совместных разработок в области информационных технологий, выполняемых в научно-исследовательских институтах, группах индустриальных стандартов и на частных предприятиях, чтобы открыть доступ к информации большому количеству людей. Целью этих технологий было объединение людей, а не их разграничение.Несмотря на то, что впоследствии были разработаны способы обеспечения безопасности интернет-протоколов, их архитектура в общем и целом осталась уязвимой, а затраты на усиление информационной безопасности порой превышают затраты на введение новой архитектуры.
Открытая и единая природа протоколов интернета явилась одной из главных причин его небывалой популярности. Они стали настоящими стандартами, благодаря чему продукты от различных производителей взаимодействуют на удивление слаженно. К сожалению, из-за наличия проблем с их безопасностью разработчики программного обеспечения вынуждены время от времени совершенствовать свои продукты. На рынке появилось новое направление программных средств, предназначенных для обеспечения безопасности информации. Многие компании широко применяют эти средства для достижения наилучших результатов в области защиты своих систем.
Известные уязвимые места
Институт системного администрирования, сетевых подключений и безопасности (SANS) включает в себя более чем 90 000 системных администраторов, профессионалов в области безопасности и сетевых администраторов, что делает данную организацию наиболее заметной структурой, занимающейся безопасностью интернета. Члены SANS публикуют свои исследования, различные статьи, учебные пособия и новости, обмениваясь информацией друг с другом и с общей массой пользователей.Каждый год институт SANS составляет перечень наиболее опасных угроз, которым подвержены компьютеры и компьютерные сети. Этот перечень носит название "The Twenty Most Critical Internet Security Vulnerabilities" ("Двадцать наиболее опасных угроз безопасности в интернете") или "The SANS/FBI Top 20". Он разрабатывается на базе многолетнего опыта, знаний, среднестатистических сведений, получаемых с помощью совместных исследований. Перечень постоянно обновляется, он находится по адресу www.sans.org/top20.htm. Он содержит сведения об угрозах, представляющих опасность для всех систем, и об уязвимых местах, присущих только системам Microsoft. Большинство уязвимых мест Microsoft IIS устраняется после установки сервис-пакетов или патчей безопасности.
В следующем разделе содержится сокращенный вариант перечня SANS с описанием проблем и набором дополнительных сведений. Раздел "Переполнение буфера" содержит информацию с веб-сайта Symantec (www.Symantec.com).
Эксплоиты, использующие ошибки в конфигурации
В зависимости от полученных данных хакер может иметь достаточно информации для осуществления направленной атаки. Узнав об открытых портах на компьютере-жертве, о приложении или службе, использующей этот порт, выяснив поставщика и номер версии программного обеспечения, хакер может начинать атакующие действия. Имея на руках указанную информацию, взломщик обратится за помощью к своим собственным ресурсам (среди которых непременно будет перечень уязвимых мест SANS/FBI) и определит, соответствуют ли полученные данные условиям для атаки.Иногда хакер находит незащищенный порт при подключении с помощью программы Telnet. В случае неудачи злоумышленник попытается войти в систему под учетной записью пользователя, найти домашний каталог со списком файлов и подкаталогов и т.д. Атака может быть направлена и на использование других служб IIS, таких как FTP и NNTP.
Эсплоиты, использующие уязвимые места программного обеспечения
Существует много эксплоитов, наиболее известными из которых являются следующие.Эксплоиты, использующие ошибки в конфигурации, требуют от хакера много времени и усилий для поиска ошибок и последующего проникновения в систему. Эксплоиты других категорий требуют от него большей сообразительности и находчивости. За исключением случая, когда хакер просто повторно использует существующую программу-эксплоит, ему требуется написать некоторый код и разработать схему его доставки. Но, опять-таки, с помощью набора хакерских средств программист довольно просто скомпилирует атакующую программу и выполнит эксплоит. Другое дело – распределенные эскплоиты. Их использование требует тщательнейшего планирования и подготовки, но это компенсируется тем, что таким атакам, как правило, очень трудно противостоять.
Методы защиты от обнаружения сканирования
Одним из способов защиты от обнаружения сканирования является использование средства FTP Bounce, о котором уже шла речь в этой лекции. Данный метод применяет обманную тактику, используя прокси-сервер для маскировки истинного сетевого адреса сканера. Другой метод заключается в уменьшении частоты сканирования. Достаточно низкая частота подачи сканирующих запросов не попадает в диапазон наблюдения за сетевой активностью, определенный в системе обнаружения вторжений (IDS). Систему IDS можно настроить на пониженный уровень частоты. Но, если этот уровень будет слишком низким, IDS сгенерирует большое количество ложных отчетов о сканировании, относящихся на самом деле к совершенно другим процессам, и действия, осуществляемые программой-сканером, просто затеряются в этой массе.Некоторые методы сканирования позволяют сканирующим пакетам преодолевать периметровую защиту. Сетевые экраны с фильтрацией пакетов иногда не обнаруживают сканирующие пакеты, разбивающие дейтаграммы в заголовках TCP, так как фильтр не распознает полный заголовок TCP, соответствующий правилам фильтрации, и пакет не блокируется.
Некоторые методы сканирования портов
Существует большое количество методов сканирования, однако в каждом конкретном случае требуется свой метод. Хакер ищет компромисс между затрачиваемым временем и уровнем секретности своих действий. В зависимости от обстоятельств хакер либо осуществляет действия безнаказанно и не боится быть обнаруженным, либо действует осторожно с применением каких-либо хитростей. Сканирование всесторонне использует возможности интернет-протокола.Совет. При составлении следующего раздела использовались материалы The Art of Port Scanning (http://www.insecure.org/nmap/nmap_doc.html) и Remote OS Detection via TCP/IP Stack FingerPrinting (http://www.insecure.org/nmap/nmap-fingerprinting-article.html), автором которых является Fyodor. Для получения более подробной информации посетите эти веб-сайты.
Ниже приведены описания нескольких методов сканирования TCP. Некоторые из этих методов предотвращают обнаружение и работают извне сети, если периметровая защита ограничена фильтрацией пакетов. В разделе "Проблема. TCP-соединения" приведена информация, с помощью которой вы разберетесь в терминах, если еще не знакомы с TCP/IP.
В данном случае, как только становится известно, что порт открыт, программа разрывает соединение. Такой метод сканирования зачастую не обнаруживается, так как соединение не устанавливается, и многие системы не заносят в журнал данные о несостоявшихся TCP-соединениях. Одни средства периметровой защиты блокируют такие пакеты, другие – нет.
Несуществующий или неправильно настроенный журнал
Одной из аксиом безопасности является высказывание: "Идеальный случай – предотвращение всех атак, но обнаружение злоумышленника жизненно необходимо". Если вы подверглись атаке, то без журналов вряд ли сможете узнать, что злоумышленники сделали с системой. Без журнала вашей организации придется либо перезагружать операционные системы с исходных носителей в надежде, что зарезервированные данные не повреждены, либо продолжать использование системы, опасаясь, что злоумышленник все еще контролирует ее. Нельзя обнаружить атаку, если не знать, что происходит в сети. Журналы содержат подробные сведения о том, что произошло, какие системы были атакованы, а какие подверглись несанкционированному доступу. О журналах будет идти речь в лекции 5.NetBIOS: незащищенные общие сетевые ресурсы Windows
Возможность File Sharing (Общий доступ к файлам), имеющаяся в Windows, позволяет открывать общий доступ к файлам в сети. File Sharing не защищен от доступа из интернета и представляет возможность несанкционированного доступа к системным файлам или ко всей файловой системе.File Sharing использует протокол Server Message Block (SMB) (Блок серверных сообщений), позволяющий применить общий доступ к файлам Windows для получения секретной информации о системе, т.е. данных о пользователях и группах (имена пользователей, даты последнего входа, политика паролей, информация о сервисе удаленного доступа), данных о системе и ключах реестра. Доступ выполняется через соединение NULL-сеанса ("недействительного сеанса") со службой NetBIOS Session Service. Данная информация очень важна для хакеров при угадывании паролей или при осуществлении атак "грубой силы" на систему Windows.
Общие уязвимые места
Некоторые уязвимые места в защите являются общими для всех информационных систем. Например, любая система, использующая парольную защиту, подвержена атакам при небезопасной работе с паролями. Поэтому, независимо от того, используется ли Windows или UNIX, веб-сервер имеет следующие слабые места.Определение веб-сервера или операционной системы
Перечень уязвимых мест SANS/FBI показывает, что их большая их часть относится к конкретным платформам. Поэтому следующим шагом хакера будет выяснение операционной системы компьютера-жертвы, производителя и версии приложения или службы. Эти данные помогут ему подобрать нужный эксплоит.Иногда хакер использует программное обеспечение компьютера для выяснения версии веб-сервера или операционной системы. Простой и часто используемый метод заключается в получении клиента службы Telnet и попытке входа в систему. На веб-сервере это действие осуществляется с помощью подключения через Telnet к порту 80 сервера (порт служб HTTP). На уязвимых системах при попытке входа в систему сервер отображает сообщение с указанием информации о производителе и версии (независимо от того, был ли вход в систему успешным).
Сканирование операционных систем осуществляется с помощью таких программ, как Nmap и Nessus. Они используют утилиту сбора данных, которая выясняет вид стека TCP/IP жертвы посредством отправляемых пакетов-зондов и сопоставляет полученные данные с информацией в базе данных, чтобы выяснить производителя и версию программного обеспечения исследуемого компьютера. Как правило, для успешной идентификации недостаточно одного зонда, однако средства сканирования являются автоматизированными, что обеспечивает высокую скорость и простоту работы.
Для обмана хакеров администраторы часто изменяют сообщения веб-сервера с указанием в нем ложного имени производителя и версии программного обеспечения. Тем не менее, этот способ не очень эффективен против хакеров, имеющих большой опыт работы с Microsoft IIS, так как успешное сканирование операционной системы быстро сужает круг возможных версий IIS.
Отсутствие фильтрации пакетов для проверки корректности адресов входящих и исходящих пакетов
Хакеры, как правило, маскируют свой IP-адрес адресом узла внутренней сети, так как в этом случае он действует под видом полноправного члена сети и его проникновение трудно распознать. Внутренние пользователи обычно имеют привилегированный доступ к информации и системам, недоступным для внешних пользователей. Поэтому внешний пользователь, работающий под видом внутреннего, сможет использовать эти привилегии для выполнения злоумышленных действий. Такой тип атак называется спуфингом (spoofing) или подменой пользователя. Данный тип атаки предотвращается с помощью IP-фильтрации, о которой пойдет речь в лекции 6.Отсутствие или незавершенность резервных копий
При нарушении защиты система восстановления требует наличия "свежих" резервных копий и проверенных способов восстановления данных. В одних компаниях ежедневно резервируются данные, но их работоспособность не проверяется. В других – создается политика резервирования данных, но не предусматривается политика восстановления. Подобные ошибки проявляются уже после того, как хакер проник в сеть и уничтожил или повредил данные. Всегда следует разрабатывать политику резервирования и восстановления, проверять ее и улучшать!Перечень известных уязвимых мест
Переполнение буфера
В Windows 2000 и IIS обнаружено большое число уязвимых мест, через которые осуществляются атаки на переполнение буфера. "Прорехи" в защите также позволяют проводить атаки, вызывающие сбой в работе веб-сервера IIS, выполнение произвольного кода, использование целевого веб-сервера в качестве инструмента для атаки на стороннюю систему. Ниже приведен краткий обзор таких уязвимых мест.Возможно прослушивание этой проверки с выдачей информации о существовании корректных разделителей, в то время как на самом деле их не существует. Таким образом, удаленный взломщик может отправить на сервер специальный HTTP-запрос, который вызовет переполнение свободных буферов. В случае успеха это вызовет сбой в работе сервера или выполнение произвольного кода. В конфигурации по умолчанию IIS 5.0 и 5.1 код выполнится с привилегиями, соответствующими IWAM_machinename.
Поиск уязвимых мест
Хакеры знают об уязвимости атакуемых ими систем. Большую часть времени при подготовке и осуществлении атаки хакеры отводят под составление перечня систематических процедур, которые помогут им выяснить эти уязвимые места с наименьшими затратами. Наверняка злоумышленники сначала проверят систему-жертву на наличие открытых портов NetBIOS. После этого они просмотрят учетные записи и пароли по умолчанию, которые не были изменены с момента установки системы. Следовательно, если вы не умеете эффективно устранять "дыры", хакер рано или поздно обнаружит их посредством рекогносцировки.Понятие протокола интернета
Давайте вначале ознакомимся с кратким описанием протоколов интернета. Работа интернета основана на функционировании набора специализированных коммуникационных протоколов. В таблице 2.1 приведены некоторые протоколы и их описание, к которым мы будем возвращаться при работе со следующими лекциями. Если вы уже знакомы с работой сетей TCP/IP и технологиями World Wide Web, можете пропустить эту тему и перейти к следующему параграфу.| Internet Protocol (IP) | Используется для управления инфраструктурой и присвоения компьютерам адресов, уникальным образом идентифицирующих каждый узел числом, состоящим из идентификаторов сети и узла. IP-адрес может выглядеть так: 192.168.222.101. |
| Internet Control Message Protocol (ICMP) | Обеспечивает механизм передачи сообщений об ошибках в протоколе IP на узел, сгенерировавший IP-пакет; используется для уведомления об ошибках, возникших при передаче данных. |
| Dynamic Host Control Protocol (DHCP) | Разрешает динамическое присвоение IP-адресов узлам в контролируемой подсети для устранения поддержки фиксированного IP-адреса каждого узла. |
| Transmission Control Protocol (TCP) | Управляет коммуникационными действиями между процессами в объединенных узлах, работающих независимо от инфраструктуры, управляемой протоколом IP. |
| User Datagram Protocol (UDP) | Является альтернативой TCP, используется для передачи данных между процессами, не требующими надежной доставки по причине того, что процессы самостоятельно исправляют ошибки. |
| File Transfer Protocol (FTP) | Простой и надежный протокол для обмена файлами между узлами. |
| Point-to-Point Protocol (PPP) | Обеспечивает надежную связь и набор опций для автоматизации процессов входа в систему и настройки удаленных узлов. |
| Simple Mail Transfer Protocol (SMTP) | Используется для передачи исходящих сообщений электронной почты с одного узла на другой. |
| Post Office Protocol (POP) | Используется для передачи входящих сообщений электронной почты с одного узла на другой. |
| Simple Network Management Protocol (SNMP) | Используется в процессе управления сетью при сборе данных для анализа и составления отчета о производительности сетей. |
| Hypertext Transfer Protocol (HTTP) | Используется веб-браузерами и веб-серверами для осуществления запросов и отправки содержимого в формате HTML. |
Приведенные протоколы TCP/IP определяют набор стандартов, используемых разработчиками программного обеспечения для обмена данными между двумя компьютерами. Это позволяет программным приложениям правильно осуществлять доставку данных. Каждый протокол играет свою собственную роль при обмене информацией.
Приложения и службы
При информационном обмене требуются различные протоколы передачи-приема данных. Например, при обмене данными интернета используется протокол HTTP (Hypertext Transfer Protocol), клиенты электронной почты используют протокол SMTP (Simple Mail Transfer Protocol), а обмен файлами – протокол FTP (File Transfer Protocol). Программные приложения, такие как веб-браузер, клиент электронной почты или клиент FTP, передают данные в формате тех протоколов, посредством которых происходит обмен информацией.
увеличить изображение
Рис. 2.2. Иерархическая структура системы доменных имен DNS
Каждый компьютер в сети интернет теоретически может быть связан напрямую с другим компьютером, но на самом деле интернет работает по-другому. Компьютеры используют веб-браузер или программу электронной почты и взаимодействуют с серверами, на которых работают соответствующие службы приложений: веб-сервер HTTP, сервер электронной почты SMTP, сетевые службы FTP (общий доступ к файлам) и Telnet (удаленные терминалы). На многих серверах выполняются одновременно несколько служб приложений. Поэтому программное обеспечение для интернета использует набор портов, идентифицируемых по номерам в диапазоне от 1 до 65535. Номера портов позволяют операционной системе сервера управлять несколькими приложениями или сетевыми службами, а также клиентскими соединениями в каждой службе. Службы HTTP обычно используют порт 80, службы SMTP – порт 25, службы FTP – порты 20 и 21. Более подробный, но далеко не полный, перечень служб приведен в табл. 2.2.
Пакет протоколов интернета содержит около ста наименований. Здесь же приведены только общие сведения, необходимые для последующего изучения материала.
| FTP | 21 | TCP | Передача файлов. |
| Telnet | 23 | TCP | Удаленные терминалы. |
| SMTP | 25 | TCP | Исходящая почта. |
| Служба имен (DNS) | 53 | UDP | Списки имен интернета. |
| HTTP | 80 | TCP | Сеть. |
| POP | 109, 110 | TCP | Входящая почта. |
| Программа удаленного контроля (RCP) | 111 | TCP и UDP | Удаленное выполнение программ. |
| Сетевой протокол передачи новостей (NNTP) | 119 | TCP | Списки новостей интернета. |
| Сетевой протокол времени (NTP) | 123 | UDP | Синхронизация времени. |
| NetBIOS (Win NT) | 135, 139, 137, 138 | TCP, UDP | Сетевые подключения Windows (не TCP/IP). |
| NetBIOS (Win2000) | 135, 139, 137, 138, 445 | TCP и UDP | Сетевые подключения Windows (не TCP/IP). |
| Протокол доступа к сообщениям в сети интернет (IMAP) | 143 | UDP | Почтовый протокол. |
| SNMP | 161, 162 | TCP и UDP | Управление сетью. |
| Пограничный сетевой протокол (BGP) | 179 | TCP | Управление пограничным шлюзом |
| Облегченный протокол службы каталогов (LDAP) | 389 | TCP и UDP | Службы каталогов. |
| Протокол защищенных сокетов (SSL) | 443 | TCP | Защищенные, зашифрованные данные сети. |
| Системный журнал | 514 | UDP | Сетевой журнал. |
| "Демон" линейного принтера (LPD) | 515 | TCP | Сервер печати (UNIX). |
| SOCKS | 1080 | TCP | Сетевой прокси-сервер. |
Принципы работы ping-запросов и сканирования
Ping-запросы, отдельные или массовые, используют атрибуты протокола интернета для получения информации. Операционные системы всех компьютеров имеют встроенную утилиту для осуществления ping-запросов. Утилита по отправке ping-запросов отправляет пакет запроса ICMP ECHO указанной системе и ожидает ответа ICMP ECHO. Если ответ получен, ping-утилита выводит сообщение о том, что система-жертва работает. Если ответ не получен, выводится соответствующее сообщение. Для осуществления массовых ping-запросов необходима программа, осуществляющая их отправку по адресам указанного диапазона.Некоторые средства отправки ping-запросов и адреса URL, необходимые для их загрузки, указаны в табл. 1.2. Системы, приславшие ответ, отображаются в виде "живых" адресов (см. рис. 2.4).
Рис. 2.4. Данные, полученные путем массового ping-запроса (скриншот программы Grims Ping для Windows 2000)
Сканирование посредством ping-запросов можно обнаружить. По этой причине осторожные хакеры, как правило, избегают использования случайного ping-сканирования. Если есть такая возможность, они выполняют ping-запросы избирательно в надежде, что отдельный ping-запрос не будет замечен, или используют другие формы рекогносцировки.
Простым способом защиты от внешних ping-запросов является блокирование ping-сканирования посредством фильтрации ICMP на сетевых экранах и маршрутизаторах. Администраторы, для которых проблема безопасности является одной из главных, обычно настраивают эти устройства на отклонение всех ping-запросов, поступающих извне. Но такая защита работает до тех пор, пока сетевой экран не будет взломан.
При сканировании портов также используются атрибуты TCP, UDP и ICMP, но выполняются другие действия. Сканирование портов осуществляется программой для сбора информации о состоянии портов TCP и UDP системы-жертвы. Сканер отправляет пакет данных (зонд) на порт с последующим ожиданием ответа. По полученному ответу определяется, является ли порт открытым, занятым или закрытым, он содержит косвенные данные о том, какое приложение использует данный порт.
Ниже приведен пример сканирования, направленного на отдельный компьютер, с помощью утилиты Nmap.
Interesting ports on (xxx.xxx.x.xx): Port State Protocol Service 21 open tcp ftp 80 open tcp http
В зависимости от используемой программы сканируются отдельные порты отдельного компьютера, выполняется массовое сканирование портов и компьютеров. В интернете доступно множество бесплатных средств сканирования. Самой популярной является программа Nmap, доступная как для Microsoft Windows, так и для UNIX. Часто используется программа Nessus. Обе программы содержат широкий набор возможностей сканирования для зондирования больших и малых компьютерных сетей.
Сканирование порта позволяет с определенной степенью конфиденциальности выяснить, какие приложения и службы выполняются на компьютере-жертве. Например, если открыты порты 21 и 80, хакер может предположить, что на компьютере работают службы протоколов FTP и HTTP соответственно. Это достаточно весомая информация, так как каждый порт, ожидающий приема данных, является потенциальным каналом связи с компьютером-жертвой, а каждое приложение или служба представляет собой точку атаки, если хакер знает об уязвимых местах системы (или имеет соответствующую программу).
ПРОБЛЕМА. Исследование червя Nimda
Это исследование основано на данных отчета "Nimda Incident Report" института SANS (© 2001). В сентябре 2001 г. червь под названием Nimda атаковал веб-сайты Microsoft IIS и вызвал отказ в обслуживании на тысячах сайтов.Nimda серьезно нарушил целостность и безопасность атакованных систем, что позволило злоумышленникам завладеть полными привилегиями администраторов компьютеров-жертв, получить доступ ко всей файловой системе и внести бесчисленные изменения в системные файлы и настройки реестра.
Червь распространял сам себя на новые компьютеры посредством четырех отдельных механизмов.
Он копировал себя во все каталоги, включая каталоги в общем сетевом расположении, для которых пользователь имел разрешение на запись. Червь осуществлял поиск исполняемых файлов на устройствах общего доступа и присоединял себя к каждому из них. Зараженным становился всякий узел, с которого осуществлялся доступ к общему сетевому расположению и загружался один из этих файлов.
Механизмы распространения на серверы IIS, описанные выше, требуют сканирования интернета инфицированной системой на предмет поиска уязвимых серверов IIS. Данный червь осуществлял заражение своих соседей по IP-адресу. Он выбирал узлы с идентичной первой или второй частью (имеется в виду адрес с идентичным значением в крайних правых полях, например, xxx.xxx.654.3210). Это действие приводило к массовой сетевой активности на сайтах с несколькими зараженными системами. В частности, можно было наблюдать эффект переполнения протокола ARP в зависимости от топологии сети жертвы.
Червь вносил бесчисленное множество изменений в файловую систему жертвы, включая создание большого числа копий самого себя под различными именами. В некоторых случаях создавалось столько копий червя, что оказывалось занятым все пространство жесткого диска. Именами файлов червя являлись Admin.dll, Load.exe, MMC.EXE, readme.exe, Riched20.dll и MEP*.TMP.EXE.
Действие червя зависело от операционной системы жертвы, от имени файла, под видом которого выполнялся червь, а также от параметров командной строки, использованных при выполнении программы. При заражении жертвы червь Nimda открывал общий доступ через сеть к каждому локальному диску. В операционных системах Windows 95/98/Me доступ открывался без всякого пароля. В системах Windows NT/2000 пользователю Guest присваивалось разрешение на доступ ко всем общим ресурсам, причем он добавлялся в группу пользователей Администратор. Червь сводил к нулю всю защиту общих сетевых ресурсов в системах Windows NT/2000.
Для сканирования сети червь запускал до двухсот нитей (подпроцессов). Это действие вызывало значительную загрузку зараженного компьютера и всей сети.
ARP, генерируемые сканирующей системой, или запросы DNS, генерируемые системой, отправляющей червь Nimda в сообщениях электронной почты, вызывали ошибки, выглядевшие как явные DoS-атаки. Дальнейший анализ с помощью дизассемблера показал, что червь Nimda повторно входил в фазу распространения через электронную почту каждые десять дней.
Особенности "троянских коней". "Троянский конь" представляет собой программу, размещаемую на компьютере, который предполагается использовать в дальнейшем. Термин, взятый из греческой мифологии, означает подаренного городу Троя гигантского коня, внутри которого находились греческие солдаты, атаковавшие город. Такая аналогия очень удачна, так как "троянские кони", в основном, используются для осуществления атаки на взлом с целью оставить "открытые двери" в систему, либо устанавливаются после успешного взлома в качестве "черных ходов", которые позволят хакеру вновь проникнуть в систему.
"Троянское кони" могут физически устанавливаться изнутри сети (опять мы имеем дело с внутренней угрозой), через электронную почту или веб-страницу, легкомысленно открытую получателем. Все это похоже на атаки с использованием вирусов, не правда ли? Другими словами, сообщение электронной почты или веб-страница, внедряющая "троянского коня", содержит вирус или червь с определенным типом действия (троянскую программу). Однако вирус наносит ущерб, как правило, сразу после первого запуска программы. Что касается "троянских коней",то они скрытно находятся в системе на протяжении некоторого времени, пока не представится возможность для нанесения удара.
Независимо от способа доставки, если не обнаружить и не удалить "троянского коня", он будет оставаться на компьютере до тех пор, пока не удалит себя сам, или пока хакер не решит, что "троянский конь" ему больше не нужен. Пока "троянский конь" присутствует в системе жертвы, он находится в полном распоряжении хакера.
" Троянские кони" используются самыми различными способами. Некоторые из них являются одноразовыми вредоносными программами, настроенными на удаление в определенное время. Другие выполняют функции, упрощающие выполнение задуманных действий хакера, такие программы называются агентами.
Одним из распространенных типов агентов является прослушивающая программа (sniffer), отслеживающая сообщения электронной почты, сетевые пакеты, клавиатуры, память компьютера и другие компоненты системы. Другой распространенный агент носит название Remote Access Trojan (RAT). RAT позволяет хакеру захватить управление компьютером или сервером и удаленно выполнять команды. Многие из программ "троянский конь", известные в хакерских кругах, комбинируют элементы снифферов и возможностей RAT.
При осуществлении атаки с помощью "троянского коня" такая комбинация используется довольно часто. Роль сниффера заключается в выявлении идентификаторов и паролей входа в систему. Он записывает нажимаемые пользователями клавиши или пакеты, отправляемые компьютером в сеть. Механизм записи зависит от типа прослушивающей программы. Сниффер может записывать данные в журнал, который потом просматривается хакером. В этот момент используется компонент атаки, реализующий удаленный контроль. RAT будет служить "черным ходом" для входа и просмотра файла журнала. Если на компьютере жертвы нет "черного хода", прослушивающая программа отправит журнал по электронной почте. В любом случае, просмотрев журнал, хакер найдет нужную для себя информацию.
При использовании инструментов, принятых в хакерском сообществе, суровой реальностью атаки с помощью "троянского коня" является то, что хакер, ответственный за конкретную атаку, является не единственным человеком, который использует "троянского коня" после его загрузки на компьютер-жертву. Хакерские средства настроены на работу с определенными портами. Из этого следует, что сканер портов может обнаружить уже размещенных в системах удаленно контролируемых "троянских коней".Всякий пользователь, выявивший присутствие "троянского коня", сможет получить доступ ко всем ресурсам, раскрываемым данной программой, даже если она была размещена на компьютере другим хакером.
ПРОБЛЕМА. Исследование: новый анализ червя Code Red II
Данное исследование проведено компанией CNET New.com (© 2001). В июле 2001 г. червь под названием Code Red атаковал и заразил тысячи серверов Windows 2000. Несколькими неделями спустя, в августе 2001 г., мутировавшая форма червя под названием Code Red II использовала тот же механизм, что и Code Red, для заражения уязвимых серверов IIS, на которых не была устранена прямая опасность переполнения буфера в idq.dll, или не были удалены отображения сценариев ISS ISAPI.Совет. О том, как устранить уязвимое место, связанное с возможностью переполнения буфера, вы узнаете в лекции 3.
За исключением механизма переполнения буфера для выполнения кода червя на уязвимом сервере IIS червь Code Red II коренным образом отличался от исходных вариантов червя Code Red CRv1 и CRv2.
Червь Code Red II имел несколько опасных особенностей. Самой серьезной из них являлось то, что червь создавал "черный ход" посредством размещения "троянского коня" в файле CMD.EXE на зараженном сервере, что делало систему абсолютно открытой для любого хакера.
Червь копировал файл %windir%\CMD.EXE в следующие места:
"Черный ход" позволял хакеру выполнять любые команды на взломанном сервере.
Кроме того, червь размещал на системе-жертве второго "троянского коня", являвшегося модифицированной версией файла explorer.exe (Диспетчер рабочего стола), который давал удаленному хакеру беспрепятственный доступ к корневым каталогам C: и D: после следующего входа пользователя в систему (если в системе не было устранено уязвимое место "Relative Shell Path"); это стало возможным благодаря способу, которым Windows по умолчанию осуществляет поиск исполняемых файлов.
Совет. В лекции 3 будет рассказываться о том, как устранить уязвимое место "Relative Shell Path", связанное с относительным путем оболочки.
По прошествии времени распространения инфекции система принудительно перезагружалась.
При перезагрузке из памяти удалялся резидентный червь, а "черные ходы" и explorer.exe оставались на месте.
При первом попадании червя на компьютер-жертву и его выполнении осуществлялась проверка заражения данного сервера, в этом случае червь отключал сам себя. После создания "троянских коней" в виде файлов explorer.exe процессы создания файлов приостанавливались. Каждые 10 минут они повторялись с выполнением всех своих процедур, поэтому даже если администратор обнаруживал в реестре параметры, открывающие доступ к C: и D: и удалял их, через несколько минут "троянский конь" прописывал настройки заново.
Червь выбирал жертву, автоматически сканируя системы и определяя, устранены ли на них уязвимые места, связанные с файлом idq.dll и с отображениями сценариев ISS ISAPI, которые использовались для переполнения буфера. После успешного подключения к цели подпроцесс червя отгружал весь код червя на удаленный компьютер, ожидал подтверждения, после чего продолжал поиск и заражение других узлов.
ПРОБЛЕМА. Исследование вируса W32.Simile
Данное исследование базируется на данных компании Symantec Corp., (© 2001). Вирус W32.Simile заражал исполняемые фалы в папках на всех жестких дисках компьютера-жертвы и на любых удаленных устройствах, с которыми взаимодействовал этот компьютер. Вирус не представлял серьезной опасности, однако в определенные дни осуществлялось отображение сообщений.Вирус содержал строку "Metaphor v1 by The Mental Driller/29A". Эта строка отображалась 17 мая, июня, сентября и декабря после запуска инфицированного исполняемого файла. 14 мая на всех компьютерах с поддержкой шрифта Hebrew отображалось сообщение "Free Palestine!".
Предполагалось, что W32.Simile изначально распространился через электронную почту. После заражения компьютера в интрасети W32.Simile заражал и веб-сервер IIS, если зараженный компьютер содержал диск, связанный с веб-сервером. Вирус W32.Simile мог проникнуть на веб-сервер через интернет, если зараженная программа выполнялась на сервере после ее внедрения через переполнение буфера.
Данный вирус являлся полиморфным и использовал в своих действиях методы скрытия точки входа. Другими словами, вирус записывал себя в случайное место и осуществлял шифрование строки с целью повышения сложности обнаружения. При своем запуске вирус перестраивался для изменения характерных признаков. Происходило как сокращение, так и увеличение объема кода вируса для предотвращения неконтролируемого роста, присущего другим метаморфическим вирусам. Вирус содержал множество тестов для предотвращения заражения файлов, предназначенных для захвата вируса.
После модификации вирус осуществлял поиск файлов .exe в текущей папке, а затем во всех папках на фиксированных и удаленных дисках. Как правило, он заражал исполняемые файлы Win32, имеющиеся в системе и написанные на языке C, и воздействовал, в основном, на файлы операционной системы.
Особенности червей. Червь по своей природе аналогичен вирусу. Иногда термин "червь" используется по отношению к вирусу, так как некоторые вирусы используют механизмы распространения, присущие червям.
Тем не менее, с технической точки зрения червь отличается от вируса, так как первый представляет собой самодостаточную программу, а не программу, присоединенную к другой программе. Кроме этого, в отличие от вирусов, которые скрываются во вложениях электронной почты и запускаются пользователем при открытии вложения, атака червей представляет собой полностью автоматизированную процедуру. После успешного проникновения в систему они полностью устанавливают и загружают самих себя, выполняя эти действия в рамках атаки, а затем осуществляют автоматическое самораспространение.
Полностью автоматизированные черви наносят огромный ущерб за малый промежуток времени. Червь Code Red, чей механизм распространения осуществлял рассеянное сканирование для определения уязвимых серверов IIS, стал примером того, насколько разрушительны последствия успешных действий червя. Черви распространяются экспоненциально, так как одна жертва распространяет вирус на несколько других, каждая из которых, в свою очередь, выполняет то же самое. На рисунке 2.5 показан график, предоставленный Ассоциацией анализа данных интернета (CAIDA.org), на котором показано распространение червя Code Red более чем на 350 000 серверов за 13 часов.
Червь является независимой программой, и ему свойственны действия по самосохранению. Эффективным методом самосохранения является скрытие. Разработчики червей пытаются маскировать черви под легальные процессы, выполняющиеся в системе компьютера. По этой причине файлы, добавляемые червями в систему компьютера, имеют обычные, не "режущие" взгляд имена (например, MS Windows содержит огромное количество файлов с расширениями .vxb, .vxd и т.д.). В иных случаях файлы червей заменяют собой легальные исполняемые файлы, что вовсе создает впечатление о неизменности набора файлов в системе.
Создатель червя усложняет процесс его устранения требованием более высоких привилегий, нежели уровень пользователя компьютера, на котором червь был установлен.
Как и вирус, червь может мутировать и изменять свой внешний вид, чтобы всегда быть на шаг впереди своих противников.Такие программы, как VBS Worm Generator (доступна в интернете), значительно упрощают создание мутированных версий ранее созданных червей. Ущерб, наносимый мутирующим червем, огромен, о чем свидетельствуют факты, приведенные ниже.
увеличить изображение
Рис. 2.5. Червь Code Red распространился более чем на 350 000 серверов за 13 часов
ПРОБЛЕМА. TCP-соединения
Если вы знакомы с принципами установки соединений TCP, то вам будет легче разобраться в способах реализации атак с использованием протоколов. Для надежной транспортировки данных узлы TCP устанавливают между собой сеансы соединения посредством механизма "трехстороннего рукопожатия".Механизм подключения использует проверочные биты, имеющиеся в передающихся между узлами пакетах. Ниже приведен перечень проверочных битов с указанием назначения каждого из них.
"Трехстороннее рукопожатие" проводит синхронизацию соединения с обоих концов, что позволяет обеим сторонам согласовываться по начальным номерам последовательности. Этот механизм гарантирует готовность обеих сторон к передаче данных и то, что стороны знают о своей готовности. Необходимо, чтобы пакеты не передавались вообще или не передавались повторно во время установки сессии или после ее завершения.
Каждый узел случайным методом выбирает номер последовательности, используемый для учета байтов в потоке отправляемых и принимаемых данных. После этого вступает в действие механизм "трехсторонего рукопожатия", работа которого заключается в следующем.
Методы сканирования UDP менее эффективны, чем сканирование TCP, так как атрибуты и возможности этих протоколов различны. В процессе передачи данных через UDP происходит мало "рукопожатий" и установок соединения, поэтому средство сканирования не сможет собрать достаточно информации. Тем не менее, сканирование UDP используется хакерами; многие программы типа "троянский конь", такие как Back Orifice, используют протокол UDP, так как трафик UDP сложнее обнаружить и остановить. В результате средство сканирования UDP может найти "черный ход" через уже имеющуюся на жертве программу "троянский конь".
Средства сканирования UDP отправляют на порт пустые пакеты, ответ на которые и будет информативным результатом сканирования. Если порт закрыт, операционная система ответит, что данный порт недоступен. Если порт открыт, то пустой пакет, скорее всего, будет проигнорирован. Следовательно, отсутствие ответа обычно означает, что порт открыт, если только порт не защищен устройством периметровой защиты, блокирующим весь трафик UDP.
Протоколы интернета
Аббревиатура "IP" является сокращением от Internet Protocol (Протокол интернета), т.е. от названия одного из протоколов TCP/IP. Его роль заключается в идентификации компьютеров (называемых узлами или хостами), между которыми производится обмен данными.Протокол Internet Control Message Protocol (ICMP) функционирует параллельно протоколу IP и позволяет маршрутизаторам отправлять сообщения друг другу для определения оптимального и надежного пути от одного компьютера к другому в сложнейшей среде глобальной сети. На рисунке 2.1 приведена схема инфраструктуры интернета и показан принцип IP-адресации.
увеличить изображение
Рис. 2.1. Протоколы интернета позволяют системам обмениваться информацией независимо от их физического расположения
Протоколы Transmission Control Protocol (TCP) и User Datagram Protocol (UDP) (в меньшей степени) используются для управления транспортировкой данных между двумя компьютерами. С их помощью открываются и закрываются соединения, доставляются и верифицируются данные при обмене информацией.
Распределенный отказ в обслуживании
Уязвимые места DoS существовали на компьютерах с самого начала появления ЭВМ. Хакеры вызывали отказ в обслуживании систем посредством физической атаки (отключая электроэнергию) или посредством других атак с вторжением. Злоумышленники освоили атаки как с внутренней, так и с наружной стороны системы.Внешние атаки на отказ в обслуживании осуществляются через сеть интернет. Например, при использовании одного известного эксплоита, называемого "атакой Smurf" (Smurf – автоматизированное средство для выполнения этой атаки) хакер отправляет большой ping-трафика ICMP по широкому рассеянному диапазону IP-адресов. Эта атака срабатывает, потому что большая часть подключенных к интернету маршрутизаторов и узлов отвечают на ping-запросы рассеянными ECHO-пакетами. Таким образом, в сети интернет с экспоненциальной скоростью растет количество пакетов, что и вызывает отказ в обслуживании.
В течение последних двух лет выявлена новая DoS-уязвимость. С помощью метода, называемого распределенным отказом в обслуживании (DDoS), можно задействовать большое число компьютеров сети для перегрузки и выхода из строя одного веб-сайта. Атака DDoS в течение долгого времени обосновывалась лишь теоретически. Однако 7-го и 8-го февраля 2000 г. она была успешно реализована на сайтах Yahoo!, Amazon, eBay, Buy.com, CNN, E*TRADE и ZDNet.
Как и атаки с применением вредоносного кода, распределенные атаки DDoS попадают в категорию эксплоитов, которым трудно противостоять, так как злоумышленникам не требуется проникновение в систему для успешной реализации атаки. Скорее всего, такие атаки будут еще долгое время будоражить сознание специалистов в области информационной безопасности.
Сценарии и Java-апплеты
Интерактивные веб-страницы, уязвимые для вредоносных сценариев и апплетов, являются довольно новым аспектом веб-безопасности. Это уязвимое место связано с использованием CGI на веб-серверах. Оно также зависит от возможности веб-серверов изменять содержимое сайтов с помощью предоставленного сервером кода (Java или Visual Basic), выполняемого в веб-браузере. В данную категорию уязвимых мест попадают сценарии JavaScript и VBscript, имеющиеся на HTML-страницах веб-сервера.Вредоносный код, поступающий с веб-серверов, более разрушителен, чем вирусы и черви, особенно код Java, так как на клиентской части он практически не зависит от платформы и влияет на компьютеры Windows, UNIX, Mac, Palm или на любой другой с Java-совместимым браузером. Для выполнения апплетов или сценариев JavaScript в браузере достаточно лишь перейти на несущую страницу апплета.
Межсайтовые сценарии (CSS). CSS относится к интерактивным веб-страницам. Вредоносный код проникает на интерактивную веб-страницу с помощью метода, вызывающего выполнение кода браузером, считывающим данную страницу. В результате вредоносная программа выполняет любое действие, допускаемое привилегиями текущего пользователя, включая считывание информации, удаление файлов, отправку сообщений электронной почты и т.д.
Ниже приведено исследование, являющееся примером реальной атаки CSS, которая в данном случае не была вредоносной, однако вполне могла бы таковой стать.
ПРОБЛЕМА. Исследование: эксплоит Zkey
Данный материал заимствован из статьи SANS автора David Rothermel. В августе 2000 г. хакер использовал уязвимость портала хранилища данных .com под названием Zkey посредством выполнения вредоносного кода JavaScript с целью перехвата имен и паролей пользователей электронной почты Zkey. Данный эксплоит является примером атаки CSS.
Атака инициировалась посредством внедрения вредоносного кода JavaScript в сообщение электронной почты и отправки этого сообщения с учетной записи Zkey, использованной хакером, на другую учетную запись пользователя Zkey.
Этот код вынуждал пользователей осуществлять вход в систему, посредством чего осуществлялось раскрытие имен пользователей и их паролей.
Сообщение электронной почты имело формат HTML, и код располагался в теге