Опасность всегда рядом
Маленькие секреты
Новые услуги, новые слабые места
Смесь протоколов
Ключевые вопросы
Некоторые случаи нарушения защиты в 1997 г.
Аудит и тестирование

Web-серверов становится все больше, и компаниям, доверяющим важную информацию службе Web-хостинга (предоставления в аренду Web-узлов), в первую очередь следует выяснить, какие средства защиты использует тот или иной Internet-провайдер. Все ISP (Internet Service Provider) утверждают, что надежно защищают информацию клиентов от чужих глаз, однако на поверку применяемые меры безопасности могут оказаться не столь надежными, а ценная информация на корпоративных Web-узлах становится достоянием хакеров.

Кто лучше других сможет выследить и поймать хакера? Такой же хакер. Так решил один Internet-провайдер, предоставляющий в аренду Web-узлы, называть которого мы не станем. И тогда он пригласил хакеров, известных под кличками Мадж и Велд, из бостонской группы l0pht, чтобы проанализировать случай незаконного вторжения.

Эта парочка выяснила следующее. Некий злоумышленник обнаружил, что в одной из компаний, входящих в список Fortune 1000, которая была клиентом данного ISP, установки по умолчанию оказались плохо сконфигурированными. Чем он и воспользовался, заложив "ловушку" в Web-сервер.

Нападавший проследил действия системного администратора компании-жертвы, когда тот входил на Web-сервер, чтобы проверить некоторые файлы. Слишком торопясь вернуться в корпоративную локальную сеть, он не воспользовался "logoff", а набрал свой пароль, проделав, таким образом, "дыру" в брандмауэре. С помощью общедоступной программы-"нюхача", которая считала пароль администратора и его идентификационный номер, злоумышленник обеспечил себе электронную идентичность с администратором, а затем прошел его путем к главному серверу корпораций.

Picture 1.

Рисунок 1. Иерархия Хоста

Неясно, что именно было целью хакера - украсть исходные коды, исполняемый модуль программы или просто ощутить радость победы. Очевидно лишь, что его действия - простейший сценарий, пользуясь которым, можно обойти брандмауэры и другие средства защиты ISP, чтобы нанести ущерб их клиентам. Так считает Мадж, который вместе с Велдом и другими членами группы l0pht поставил свой опыт хакерства на службу исследованию и тестированию систем.

"Большинство крупных Internet-провайдеров, предоставляющих бизнес-службы, утверждают, что они внимательно относятся к вопросам защиты, однако в основном это только слова, - утверждает Мадж. - Мы провели аудит очень крупной компании, специализирующейся в области Internet-служб, и обнаружили, что защита в ней отсутствует. Имелись незакрытые "дыры" и в операционной системе. Отсутствовала фильтрация. Поскольку этот ISP, обеспечивающий обслуживание совместно используемых серверов, разрешал пользователям входить в систему без шифрования, мы смогли взломать соединения и получить контроль над компьютерами".

Кредо хакера: информация - это сила. Если компания хранит какие-либо ценные сведения на Web-серверах, расположенных у Internet-провайдера или в центре Web-хостинга, следует весьма тщательно изучить, какова политика безопасности соответствующего ISP. Даже если информация на Web-сервере не представляет большой ценности, нужно учитывать: в результате действий хакеров возможны отказ в обслуживании, в поддержке Web-страниц, а также прорыв злоумышленника к тому, что Мадж и его коллеги называют "самой вкусной начинкой", - к центру локальной сети.

Опасность всегда рядом

Все больше компаний перекладывают заботу по обеспечению своих потребностей по поддержке торговли через Internet на плечи бизнес-служб Internet-провайдеров или центров обслуживания Web-хостинга. Серверы, находящиеся за пределами служб Web-хостинга, стали наиболее заманчивыми мишенями для пронырливых хакеров, которые выуживают информацию до тех пор, пока не найдут лазейку. И таковая чаще всего обнаруживается в неправильно сконфигурированном брандмауэре или маршрутизаторе.

Что делают злоумышленники, пробравшись в компьютер, зависит от архитектуры сети. И здесь наиболее уязвимыми оказываются структуры, в которых серверы используются совместно несколькими компаниями. По словам Велда, в таком случае, вломившись в какой-нибудь компьютер, вы сразу же "получаете" всех клиентов.

Узнав имена и пароли пользователей, хакеры с помощью средств взлома проверяют их по "словарю" известных паролей, обнаруживая определенные соответствия используют для присвоения прав администратора. Джон Хэнкинс, директор служб Web-хостинга компании GTE, считает наилучшим способом защиты совместно используемого сервера установку коммутатора на каждом его порте. Тогда каждому предприятию-клиенту становится доступной лишь часть полосы пропускания общего канала, что может предотвратить захват паролей пользователей. Такова практика, которой придерживается и компания GTE.

Еще лучше - применять коммутаторы, обеспечивающие фильтрацию, т. е. строгий контроль за трафиком между компьютерами и соединениями. Однако стоимость фильтрующих коммутаторов составляет 400-500 дол., нефильтрующих - около 100 дол., а специальных сетевых процедур - какие-то центы, поэтому многие мелкие Internet-провайдеры не используют фильтрующие коммутаторы. "GTE говорит о 32 портах на один концентратор, что означает большие деньги, - поясняет один из хакеров-аудиторов. - Не стоит рассчитывать на то, что ваш провайдер не захочет съэкономить".

Информационная фирма OneSourse с оборотом 10 млн дол. считает эти затраты необходимыми и оправданными. Сейчас она занимается переносом своего достояния - стратегической информации, предназначенной для продажи деловым и финансовым клиентам типа Bank of America и Oracle, - на 20 выделенных серверов, которые будет обслуживать компания GTE. "Наши исследования показали, что многие Internet-провайдеры имеют брандмауэры, и ничего кроме них", - поясняет Марк Ван Дайн, вице-президент по технологическому оснащению OneSource.

Почти все они имеют довольно смутное представление об атаках, которым подвергались, и утверждают, что им ничего не известно о действительных вторжениях в их сети. Именно этого и добиваются нападающие. "Хорошие хакеры действуют на чужих машинах, не выдавая себя", - утверждает Йоби Бенджамин, главный директор по базам знаний консалтинговой компании Cambridge Technology Partners.

Хотя ощущение защищенности обманчиво, клиенты ISP на деле обеспокоены несколько иными проблемами, которые можно наблюдать визуально (например, злонамеренным повреждением Web-страниц или заменой их содержимого на порнографическое, расистское и др.). Роб Тобиас, Web-мастер и директор по маркетингу компании Mixman Technologies, занимающейся продажей через Internet музыкальных компакт-дисков на двух совместно используемых серверах, которые обслуживаются фирмой Best Internet, считает большой неприятностью вторжение на открытый сервер компании и умышленное искажение Web-страниц. В подобных случаях хакеры получают доступ к функциям чтения/записи, используя пароль клиента.

Маленькие секреты

В прошлом году подверглись изменениям сотни Web-страниц, причем в некоторых случаях это вызвало резкие отклики в прессе. Например:

  • на странице ЦРУ название управления было изменено на Central Stupidity Agency (Центральное агентство глупости), а ее связи были переадресованы на адресную страницу журнала Playboy;
  • компании CyberPromotions сильно досталось за ее приверженность к большому количеству "рекламного мусора";
  • на конференции Defcon хакеры поместили карикатуры на киностранице Hackers компании MGM/UA.

Еще один тип неприятных атак называется "отказ в обслуживании". В этом случае нападающие загружают серверы или маршрутизаторы слишком большим количеством запросов на исполнение (так называемое PING-заполнение). И тогда в какой-то момент серверы останавливаются и прекращают обслуживать клиентов, что может дорого обойтись таким фирмам, как Mixman, которая ежемесячно продает компакт-дисков в среднем на 750 тыс. дол.

В июне 1997 г. Web-страница компании Microsoft стала жертвой несколько модифицированной атаки типа "отказ в обслуживании". Хакеры использовали "дыру" в ее сервере Internet Information Server и зациклили Web-узел. В результате, служба Microsoft не работала в течение нескольких дней - пока не была создана "заплата". (Заметим, что Microsoft публично объявила, что служба была недоступна для клиентов всего около 10 мин, пока сервер останавливали и перезагружали).

По результатам неофициального анализа, проведенного хакером se7en, в 1997 г. были успешно атакованы около 360 Web-узлов. Многих инцидентов можно было бы избежать при использовании новых приложений для мониторинга, называемых средствами обнаружения вторжений. Правильно сконфигурированное средство способно идентифицировать атаки разного типа (PING-заполнение, "отказ в обслуживании", вторжения в сеть, перехват паролей и т. д.) и предупреждать о них администратора. К числу ведущих производителей средств детектирования вторжений относятся Internet Security Systems (http://www.iss.net), Axent Technologies (http://www.axent.com) и WheelGroup (http://www.wheelgroup.com).

"Не существует стопроцентно безопасной среды, - утверждает Дэвид Вандернаалт, директор служб конечных пользователей ассоциации International Computer Security Association, - поэтому Internet-провайдеры должны быть начеку, ожидая атак. И именно поэтому так важны средства выявления вторжения".

К сожалению, ISP и службы хостинга непоследовательны в решении проблем, связанных со вторжениями. Компания GTE, например, осуществляет мониторинг своей сети и выявляет необычную активность с помощью приложений собственной разработки, останавливая атаки на входе в сеть. Internet-провайдер Best Internet Communications не использует никаких средств мониторинга - в этой компании полагаются на администраторов, которые должны регулярно проверять log-файлы системы.

Большинство компаний рассылают свои данные по Internet, используя стандартный протокол FTP, который хакеры Мадж и Велд считают небезопасным и неуклюжим. "Протокол FTP был написан как быстрый "клюг" (хитрый программный трюк) еще в те дни, когда в сетях насчитывалось не более 10 машин", - говорит Велд. В целях безопасности Мадж предлагает избрать менее наезженную дорогу и применять не FTP, а Secure Copy Protocol, который является частью сетевого протокола Secure Shell (http://www.ssh.net). Можно также использовать протокол HTTP, поддерживающий шифрование по стандарту Secure Sockets Layer (SSL). Поинтересуйтесь у своего провайдера или службы хостинга, обеспечиваются ли такие возможности.

Новые услуги, новые слабые места

Отраслевые эксперты предсказывают в текущем году заметный рост торговли через Internet. Так, аналитики IDC считают, что к 2001 г. ее объем составит более 200 млрд дол. При этом в полный рост встанет проблема безопасности, поскольку каждый участник сделки должен иметь гарантии защиты кредитной информации и конфиденциальности.

Два года назад компания Best была одним из немногих локальных провайдеров службы электронной коммерции, инфраструктура которой позволяла обрабатывать сделки в режиме реального времени. Вот почему выбор фирмы Mixman пал именно на нее. Следует особо отметить, что для шифрования исходящей информации о сделках использовался сервер защиты SSL, который был напрямую связан с CyberCash, обеспечивающим обработку кредитных карточек.

Тобиас уверен, что благодаря двухсерверной схеме, реализованной в компании Best, важная кредитная информация не попадет в чужие руки. Один сервер содержит сведения о продукте и формы, а другой собирает зашифрованные SSL-данные о кредитных карточках и пересылает их в CyberCash. По мнению Тобиаса, до второго сервера смогут добраться лишь уполномоченные администраторы компании Best.

В настоящее время большинство ISP предлагают своим клиентам воспользоваться протоколом SSL, который шифрует сделки на выходе с сервера. Однако, по оценке Марка Каллимора, директора компании Visa по электронным банковским службам, у большинства торговцев на каждый заработанный ими доллар приходится доллар фиктивных платежей. Поэтому к шифрованию необходимо добавить еще и средства подтверждения идентификации, появившиеся в 1997 г. в форме цифровой подписи. Компании Visa, MasterCard и другие продвигают стандарт Secure Electronic Transactions, поддерживающий цифровые подписи.

Смесь протоколов

Для защиты передачи сообщений электронной почты и реализации сделок через Internet существуют и другие стандарты. Так, на январской конференции RSA Data Security Conference более 30 производителей предложили свои решения проблем взаимодействия разных платформ, объявили о сотрудничестве с другими производителями и анонсировали целый поток новых стандартов.

Безусловно, все эти новинки еще больше затруднили решение указанных проблем. Дело в том, что новые протоколы и партнерские соглашения направлены в основном на обеспечение защиты отдельных передач по проводным линиям, в то время как информация, представляющая собой реальную ценность, остается на сервере, по сути, незащищенной.

Специалисты банковской отрасли считают, что если при передаче по Internet захвачена информация лишь одной из участвующих в сделке сторон, до катастрофы еще далеко. Ведь целью нападения является проникновение в базу данных, где компании-продавцы хранят целые наборы сведений о кредитных карточках. Летом прошлого года при попытке продажи агентам более 100 тыс. номеров кредитных карточек ФБР арестовало 36-летнего Карлоса Фелипе Салдаго по прозвищу Смэк. Он "вынюхивал" эти номера на серверах не установленного в ходе расследования провайдера из Сан-Диего, а также в базах данных, подключенных к Internet.

Многих проблем можно избежать, надлежащим образом сконфигурировав сеть, проводя регулярные тестирования, проверки и выявляя случаи вторжения. Однако важно помнить, что Internet-провайдеры и службы хостинга должны поддерживать разумный баланс между защитой и доступностью информации. Введение очень жесткой защиты замедлит трафик и увеличит время реакции клиента. Слишком слабая защита сделает атаку неизбежной.

Часто угрозой безопасности являются человеческие ошибки, над которыми не властны ни ISP, ни службы хостинга, а также выбор пароля, совпадающего с регистрационным именем клиента. "Существует ли волшебное правило обеспечения безопасности? - посмеивается Велд, превратившийся из хакера в эксперта по защите. - Да, это правило - полагаться на здравый смысл".


Дебора Рэдклифф (Deborah Radcliff) - независимая писательница, проживающая в Северной Калифорнии. С ней можно связаться по адресу DeRad@aol.com.

Ключевые вопросы

Поскольку Internet-провайдеры, предоставляющие услуги бизнес-хостинга, сталкиваются с одними и теми же проблемами защиты информации, отраслевая группа NCSA (National Center for Supercomputing Applications) разрабатывает предложения по структуре средств защиты, которые будут переданы всем ISP. Кроме того, группы Internet Engineering Task Force (IETF) и Computer Emergency Response Team Университета Карнеги Меллон разрабатывают подробную документацию. Возглавляет работу Том Киллалеа, менеджер по разработке компании-провайдера NorthWest Net.

Киллалеа и Скотт Маркл, менеджер консорциума по защите ISP ассоциации International Computer Security Association, считают, что компании, занимающиеся электронной коммерцией, должны прежде всего сформулировать собственную политику и цели в области безопасности, а уж потом переводить свои приложения Internet-торговли и Web-серверы в ведение служб ISP. Киллалеа и Маркл разработали вопросы, которые следует задавать предполагаемому провайдеру.

  • Проводит ли он проверки защиты? Если да, то каковы их результаты?
  • Как отделены друг от друга предприятия на совместно используемых серверах? (По мнению Киллалеа, многие ISP даже не пытаются ввести такое разделение.)
  • Какова конфигурация сети? Где находятся брандмауэры? Можно ли установить второй брандмауэр на входе?
  • Какие типы шифрования и аутентификации поддерживаются?
  • Обеспечивается ли непрерывное резервное копирование с избыточностью для предотвращения непредвиденных ситуаций?
  • Каковы типы установленных физических средств защиты? Как защищены информационные центры? Имеют ли они надежную охрану?

Некоторые случаи нарушения защиты в 1997 г.

  • Неправильные действия администратора локальной сети компании AT&T привели к установке в ней программы-анализатора пакетов, которая считывала пароли клиентов.
  • 16-летний подросток из Броквилл (шт. Онтарио) выкрал 1300 идентификационных номеров и паролей пользователей у местного Internet-провайдера RipNet и передал их четырем своим школьным приятелям.
  • Начал циркулировать вирус AOL4FREE.COM типа "троянского коня", стирающий файлы пользователей.
  • Вследствие атак хакеров в течение двух недель семь раз прекращался доступ в сеть Zip Internet.

Источник: Infosec Review

Аудит и тестирование

Регулярные проверки защиты являются наиболее важным компонентом любой системы безопасности. Такие проверки включают в себя тестирование всей сети на предмет обычных атак, поиск ошибок в конфигурации и дополнительные проверки по мере введения нового ПО и программных заплаток. Однако, как считают консультанты и аналитики, так действует только ряд крупных Internet-провайдеров, обладающих магистральными каналами и бизнес-службами.

Хакеры из бостонской группы l0pht проверили по этой методике несколько ISP. А недавно ассоциация International Computer Security Association (ICSA) выпустила свою собственную службу тестирования Internet-провайдеров.

Еще одна дополнительная служба ассоциации ICSA - тестирование самого Web-узла. Такое тестирование может стать весьма полезным, поскольку даже самые заботливые Internet-провайдеры и службы хостинга окажутся абсолютно незащищенными, если клиент разместит на своих серверах плохие программы.

Если при выборе службы Web-хостинга вашей главной заботой является безопасность, лучше всего обратиться к крупной компании. Скотт Маркл, один из руководителей ассоциации ICSA, считает, что крупные ISP, обладающие магистральными каналами и имеющие отделы безопасности, обеспечивают гораздо более надежную защиту, чем мелкие Internet-провайдеры, не имеющие специальных отделов безопасности.