Кража паролей у Архангельского провайдера
По данным сервера lnternet.ru 9 июня 2000 г. в Октябрьском районном федеральном суде города Архангельска закончилось слушание дела, связанного с преступлениями в сфере компьютерной информации. К ответственности были привлечены два молодых человека: Алексей Галайко и Иван Петриченко. Галайко обвинялся в том, что объединил несовершеннолетних школьников, в их числе Петриченко, в "Союз хакеров" и привлек их к созданию компьютерных программ с замаскированными в них вирусами. При помощи этих программ Галайко смог "приобщиться" к электронным источникам конфиденциального характера и копировать файлы с информацией о паролях архангельских пользователей Internet. Следствие решило, что своими действиями Галайко нанес ущерб провайдеру "Интернет-Архангельск" на сумму 2285 рублей. В ходе слушания вина подсудимых была доказана по всем пунктам обвинения, кроме создания "Союза хакеров". Галайко был приговорен к 3 годам лишения свободы, Петриченко — к 2 годам условно. Однако позже оба хакера были освобождены по амнистии.
· Кража сервисов (theft of service) — несанкционированное использование компьютера или сетевых сервисов без ухудшения качества обслуживания других пользователей.
· Отказ в обслуживании (denial of service) — умышленное снижение производительности или блокировка доступа к сети или компьютеру и его ресурсам.
Баннерная сеть атакует конкурентов
По данным агентства Netoscope.ru 16 октября на сайте "Независимый обзор провайдеров России" (www.provider.net.ru) появилось сообщение о DoS-атаках на два украинских сайта — www.sle.com.ua и www.search.kiev.ua. В причастности к взлому подозревается баннерная сеть RLE (www.rle.ru). Оба украинских сайта принадлежат компании IREX Pro Media (http://ipc.kiev.ua), которая обратилась с жалобой на двухдневные атаки со стороны баннерной сети RLE в российский RIRT. RIRT (Russian Incident Responce Team) — это команда экспертов по безопасности, состоящая из специалистов российских ISP. Редакция сайта "Независимый обзор провайдеров России" сообщает: "По поступившей в редакцию PPR информации атака производилась с санкции руководства RLE и должна была выступать в качестве аргумента в конфликте по вопросу, относящемуся к авторскому праву". По косвенным данным сайт украинской баннерной сети www.sle.com.ua позаимствовал у RLE дизайн. Потерпевшая сторона также сообщает, что в ходе атаки возникли серьезные проблемы и у других клиентов провайдера.
Этапы реализации атак
Можно выделить следующие этапы реализации атаки: предварительные действия перед атакой или "сбор информации" (information gathering), "реализация атаки" (exploitation) и завершение атаки. Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки ("заметание следов"), в свою очередь, также могут являться атакой и соответственно разбиваться на три этапа (рис. 2.10).
Рис. 2.10. Этапы реализации атаки
Основной этап — это сбор информации. Именно эффективность работы злоумышленника на данном этапе является залогом успешной атаки. В первую очередь выбирается цель нападения и собирается информация о ней (ОС, сервисы, конфигурация и т. д.). Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному результату.
На первом этапе злоумышленник пытается выявить все каналы взаимодействия объекта атаки с другими узлами. Это позволит не только выбрать тип реализуемой атаки, но и источник ее реализации. Предположим, атакуемый узел взаимодействует с двумя серверами под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет доверенные отношения, а с другим — нет. В зависимости от того, через какой сервер злоумышленник будет осуществлять нападение, зависит, какая атака будет задействована, какая утилита будет ее реализовывать и т. д. Затем, на основании полученной информации и преследуемого результата выбирается атака, дающая наибольший эффект. Например, для нарушения функционирования узла можно использовать SYN Flood, Teardrop, UDP Bomb и т. п., а для проникновения на узел и кражи информации — сценарий phf для кражи файла паролей, удаленного подбора пароля и т. д. Затем приходит очередь второго этапа — реализации выбранной атаки.
Традиционные средства защиты вступают в действие на втором этапе, совершенно "забывая" о первом и третьем. Это влечет за собой то, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и эффективных средств защиты. Пример тому – распределенные атаки. Логично было бы, чтобы средства защиты начали работать еще на первом этапе, т. е. предотвращали возможность сбора информации об атакуемой системе. Это позволит если и не полностью "обезглавить" атаку, то существенно усложнить работу злоумышленника.
Также традиционные средства не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации (третий этап) и, следовательно, нельзя определить меры по предотвращению таких атак впредь.
В зависимости от достигаемого результата нарушитель концентрируется на том или ином этапе. Например, для отказа в обслуживании он в первую очередь подробно анализирует атакуемую сеть и выискивает в ней лазейки и слабые места для атаки на них и выведению узлов сети из строя. Для хищения информации злоумышленник основное внимание уделяет незаметному проникновению на анализируемые узлы при помощи обнаруженных ранее уязвимостей.
Как уже упоминалось выше, в данной книге не ставилась задача подробного рассмотрения механизмов реализации тех или иных атак. Однако основные механизмы все же рассмотрены. Это необходимо для понимания методов обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников — залог успешной обороны вашей сети.
Сбор информации
Первый этап реализации атак — это сбор информации об атакуемой системе или узле. Он включает такие действия, как определение сетевой топологии, типа и версии операционной системы атакуемого объекта, а также доступных сетевых и иных сервисов и т. п. Эти действия реализуются различными методами.
Изучение окружения
Выполняя эту задачу, нападающий исследует области вокруг предполагаемой цели атаки. К таким областям относятся, например, узлы internet-провайдера "жертвы". На этом шаге злоумышленник может пытаться определить адреса "доверенных" систем (например, сети партнера), узлов, которые напрямую соединены с целью атаки (например, маршрутизаторов ISP) и т. д. Такие действия достаточно трудно обнаружить, поскольку они выполняются в течение довольно длительного периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т. п.).