Компьютерные атаки: стратегия обороны


Как и было обещано в прошлом номере, мы продолжаем разговор о проблемах безопасности при работе в Internet. Однако если в предыдущем номере рассказывалось лишь о профилактических мерах, то теперь самое время затронуть вопросы непосредственной защиты от компьютерных атак. Речь пойдет о трех основных видах сетевых агрессий, возможных при работе с ICQ, электронной почтой и, собственно, при подключении к Internet.


Торговля UIN как вид бизнеса

В последние годы Internet-пейджер ICQ не перестает удивлять пользователей своими великолепными коммуникационными возможностями. Сегодня мы не будем подробно останавливаться на них, а любопытствующим посоветуем прочесть статью "Ку-ку", — сказала тетя Ася, или Власть цветка" ("Домашний ПК", № 10, 1999). Однако радость от общения с "тетей Асей" может быть омрачена некоторыми проблемами безопасности, большинство из которых удастся избежать, соблюдая элементарные правила при инсталляции программы на свой компьютер.

Как известно, уникальные идентификационные номера (UIN, Unique Identification Number) ICQ распределяются по простому хронологическому принципу: кто позже подключился, у того и номер больше. Число владельцев популярного сетевого пейджера, ныне сопровождаемого компанией America Online, ежедневно увеличивается, поэтому бытует мнение, что номер ICQ свидетельствует об опыте работы пользователя в Сети и его компетентности в вопросах Internet-технологий. Например, шестизначный номер говорит о том, что владелец сего сокровища — профессионал со стажем, несомненно заслуживающий доверия у всех остальных. Ну а если номер восьмизначный и трудно запоминаемый, то наверняка его обладатель подключился к Internet совершенно недавно, а значит, является неофитом в сетевом сообществе.

Высказывания более чем спорные, что, впрочем, не мешает появлению таких сайтов, как www.uinforsale.com, — его авторы на заглавной странице в безапелляционном тоне утверждают примерно то же самое и, кроме того, добавляют: "…Прописная истина: отношение к новичкам совершенно другое, чем к опытным пользователям Internet. Все вышесказанное касается не только отдельных клиентов, но и фирм в целом, поэтому нужно непременно заботиться о репутации своих компаний в Сети".

Честно говоря, мне еще не приходилось слышать о фирме, солидность которой ставилась бы под сомнение из-за номера ICQ, однако оставим подобные заявления на совести авторов, научившихся зарабатывать деньги путем продажи коротких и легко запоминаемых UIN. В контексте данной статьи нас более всего интересует security-аспект приобретения такого номера. Кстати, истории его получения, описанные в публикации "Охота за UIN’ом — Bugs, Crack и Social Engineering" на сервере HackZone.Ru, по своим сюжетам напоминают детективы Агаты Кристи.

Итак, какие же действия предпринимают агрессоры для того, чтобы узнать заветную комбинацию цифр? На самом деле все очень просто. Каждому владельцу Internet-пейджера известно о такой возможности приложения, как добавление новых клиентов. При этом поиск по базе данных ICQ может осуществляться по имени, адресу электронной почты или UIN пользователя. Эти сведения являются обязательными при регистрации на сервере Mirabilis и поэтому всегда доступны каждому поклоннику "тети Аси". Основным параметром здесь, конечно же, является e-mail, так как для присвоения чужого номера в регистрационную форму нужно ввести UIN и пароль пользователя. Но если с UIN ситуация понятна, то пароль можно получить лишь через страницу www.icq.com/password, что весьма затруднительно, разве что пользователь был достаточно неосторожным и позволил установить в своей системе "троянского коня" или key logger (программу, созданную неким "доброжелателем", которая контролирует работу клавиатуры и записывает данные о всей введенной информации в отдельный файл).

Если при регистрации ICQ указан адрес электронной почты, присвоенный вам надежным и проверенном в деле провайдером, то считайте свой случай более-менее безопасным. Если же в регистрационной форме числится адрес какой-то бесплатной службы, тут сетевые "джентльмены удачи" начинают довольно интересную "игру". От вашего имени множеству клиентов рассылаются сообщения рекламного, а порой и откровенно порнографического содержания. После нескольких тысяч таких писем некоторые пользователи (а иногда и сам агрессор), естественно, возмутятся подобным нарушением сетевого этикета, о чем не замедлят сообщить компании, предоставляющей услуги бесплатной почты.

В результате ваш адрес скорее всего удалят без каких-либо предупреждений (кстати, довольно недвусмысленные высказывания касательно рассылки рекламной информации содержатся в Service Agreement практически каждого бесплатного сервера). Без какого-либо промедления точно такой же адрес e-mail будет зарегистрирован на имя вашего "доброжелателя", который с помощью службы Forgotten Password на сайте ICQ добудет "забытый пароль" на все тот же значащийся в системе адрес электронной почты, однако уже принадлежащий другому человеку.

Существуют ли какие-то меры противодействия подобным атакам? Как уже было сказано выше, указание адреса, выданного провайдером, существенно уменьшает возможность закрытия почтового ящика по независящим от вас причинам. Будет также не лишним установить обязательную авторизацию для всех, кто желает добавить ваше имя или ник в свой Contact List. Кроме того, не ведите пространных бесед с незнакомыми людьми, особенно когда они предлагают вам выслать интересные файлы или нужные приложения.

Тяжелая артиллерия

Атаки по e-mail на сегодняшний день особенно неприятны для пользователей бесплатных почтовых услуг (из-за ограничения объема почтового ящика), а также для тех, кто подключается к Internet по коммутируемой телефонной линии (как известно, время — деньги).

Почтовая бомбардировка, или mailbombing, является одним из самых примитивных видов компьютерных агрессий и практически не применяется высококлассными взломщиками. При такой атаке на электронный адрес пользователя отсылается большое количество сообщений. Ее главная цель, как правило, — засорение ящика или вынужденное "зависание" сервера провайдера, пытающегося справиться со всем этим "хламом", поступающим в адрес жертвы.

Практически любой пользователь, мало-мальски знакомый с основами работы в Internet, может стать автором такой агрессии. Для примера рассмотрим одну из самых распространенных программ подобного типа — The Unabomber (рис. 1). Как видно из ее интерфейса, все, что требуется знать потенциальному террористу, — это адрес сервера, позволяющего анонимную отправку сообщений электронной почты, и адрес жертвы. После ввода какого-либо текста в поля Subject и Message и нажатия кнопки Begin Mailing программа начнет отсылку почтовых сообщений. Количество отправленных писем указывается в поле Number и может задаваться фактически любым 12-разрядным числом.

Как же уберечься от почтовых атак? Прежде всего, напомню, что применять такую программу будут "горе-специалисты по хакингу", уровень знаний которых оставляет желать лучшего. Поэтому противодействием номер один должно стать элементарное правило: четко осознавать, кому и зачем вы сообщаете свой электронный адрес.

В качестве преграды для мэйлбомбинга может выступать и Web-сайт провайдера, иногда настраиваемый таким образом, чтобы он автоматически определял почтовые атаки. В большинстве случаев они распознаются сервером посредством сравнения исходных IP-адресов входящих сообщений. Если количество сообщений из одного источника превышает некие разумные пределы, то все они автоматически поступают в Recycle Bin на сервере. Конечно же, ничто не мешает злоумышленнику фальсифицировать собственный IP-адрес, однако те, кто в силах совершить подобное, наверняка не станут прибегать к такому примитивному способу атаки.

Приложение BombSquad (рис. 2) поможет расчистить почтовый ящик после совершения нападения. Вместо загрузки всех сообщений программа доставит лишь определенное количество писем. Проведя их сортировку, вы сможете отделить нужную почту от mail-бомб сетевого террориста. Для тех, кто предпочитает читать заголовки электронных писем на сервере перед загрузкой почты на жесткий диск, существует возможность удаления всех лишних сообщений без доставки на свой компьютер. Однако при большом количестве почты такой способ вряд ли удобен. Хочется также напомнить, что, согласно украинскому и российскому законодательствам, почтовые атаки могут быть расценены как уголовные преступления (www.ci. net.ua/trial/laws/80_94-VR.html). В Соединенных Штатах подобные действия, повлекшие за собой срыв работы сервера провайдера, считаются федеральными преступлениями и передаются на рассмотрение в ФБР.

Рис. 2

И вновь продолжается бой!

Естественно, все рассмотренные выше виды Internet-агрессий могут доставить пользователям определенные проблемы, однако ни кражу UIN, ни почтовую бомбардировку нельзя расценивать как серьезное покушение на вашу компьютерную систему. Атаки профессиональных взломщиков имеют более изощренный характер, при этом учитывается психология жертвы, активно используется информация о спецификации протоколов TCP/IP, на которых построена Internet. В прошлом номере мы говорили о способах получения контроля над удаленной системой с помощью инсталляции "троянского коня", сейчас же мы расскажем о том, как подобным действиям можно противостоять.

Рис. 3

Согласно Бюллетеню лаборатории информационных технологий NIST, наиболее популярными атаками на пользовательские машины считаются:

  • установка вируса на компьютер жертвы с помощью передачи файла по ICQ;
  • применение BackOrifice и NetBus (рис. 3) — продуктов различных хакерских групп, позволяющих получать неограниченный доступ к удаленной системе, если на ней установлен "троянец";
  • переполнение рабочего телекоммуникационного канала пользователя путем отсылки ему огромного количества TCP-пакетов с пометкой "срочно" с помощью WinNUKE (рис. 4).

Теперь более подробно остановимся на каждой из них.

Рис. 4

Всех, кто интересуется вопросами распространения вирусов посредством ICQ, я отсылаю к статье "Вирусы в Internet: это должен знать каждый" ("Домашний ПК", № 10, 1999). Кроме того, тема безопасности при работе в Сети подробно изложена в № 13 "Компьютерного Обозрения" за 2000 г. Упомянутые выпуски этих изданий доступны на сайте ITC-Online.

Далее. Программы BackOrifice и NetBus, будучи установленными на компьютер, открывают удаленный доступ к файлам для тех, кто заранее позаботился о "прописке" этих "творений" в вашей системе. Обе они подобны мелкому воришке, который проник в чужой дом и спрятался под кроватью, чтобы потом, когда наступит ночь, открыть двери более серьезным и маститым бандитам. BackOrifice, например, заносится в директорию Windows, откуда легче всего получить доступ к важным системным файлам. BackOrifice и NetBus сегодня обнаруживают и обезвреживают практически все антивирусные пакеты.

Существуют также и другие программы, способные защитить вашу систему от подобных "троянских коней".

Утилита NOBO (рис. 5, ее название происходит от "No BackOrifice") непрерывно контролирует соответствующие порты на предмет поступления в систему данного вируса, хотя в общем она реагирует на любого рода "подозрительные" пакеты. При этом NOBO выдает сообщение о получении блока данных неизвестного происхождения и тут же закрывает порт, предотвращая тем самым возможность продолжения атаки. Затем программа записывает в log-файл данные об IP-адресе агрессора (которые могут быть сфальсифицированы, но это уже совсем другая история). В случае повторения инцидента эту информацию нужно предоставить своему провайдеру. Загрузить NOBO можно по адресу (web.cip.com.br/nobo/index_en.html).

Рис. 5

Программа BODetect (рис. 6) проверит все ваши жесткие диски на наличие BackOrifice. Таким образом, комбинацией этих двух утилит удобно пользоваться при частой работе в Internet: с одной стороны, вы можете контролировать движение пакетов к вашему компьютеру, с другой — периодически запускать антивирус, наученный распознавать именно BackOrifice.

Сканеров портов, препятствующих проникновению в вашу систему другого не менее опасного "троянского коня" NetBus, также существует довольно много. Пакет NetBuster, например, прекрасно справится с этой задачей. Более того, при атаке на ваш компьютер NetBuster будет умышленно отвечать на запросы агрессора, создавая тем самым впечатление, что вирус надежно установлен на вашем ПК. В итоге время, потраченное взломщиком на безуспешные попытки получить доступ к компьютеру "жертвы", увеличится, что, в свою очередь, может помочь специалистам найти реальный источник угрозы и идентифицировать компьютер, с которого производится атака.

И наконец, еще один вид компьютерной агрессии, заслуживающий отдельного разговора, — атомная атака, или просто "ньюкинг" (nuking). Программы такого рода, используя некоторые ошибки Windows, отсылают на адрес жертвы большое количество срочных пакетов, что в конечном итоге приводит к "зависанию" компьютера, а в некоторых случаях и к повреждению его системных файлов. Основная опасность подобных программ заключается в их разрушительной силе и в то же время простоте использования. Как видно из рис. 4, потенциальному террористу для атаки через Internet с помощью WinNUKE нужно знать только ваш IP-адрес.

Какие же меры противодействия следует предпринять в данном случае? Прежде всего старайтесь, чтобы ваш IP-адрес был известен как можно меньшему кругу людей. Основные каналы утечки информации об IP-адресе — чаты и ICQ. Что касается "тети Аси" — позаботьтесь о том, чтобы во вкладке Security в поле IP всегда появлялась надпись "N/A" (Not Available — недоступно).

Кроме того, обратите внимание, насколько легко ваше имя может добавить в свой список другой пользователь ICQ. Не будет лишним ограничить круг потенциальных друзей. Хотя все эти меры довольно-таки косметические… Существуют программы, способные распознавать IP-адрес даже тех владельцев ICQ, которые предприняли все меры предосторожности. Именно поэтому в большинстве серьезных компаний использование данной популярной программы запрещено.

Но даже если террористу удалось завладеть IP-адресом, что, как мы убедились, сделать весьма несложно, это еще вовсе не является "окончательным приговором" вашей системе. "Атомных атак" поможет избежать программа Nuke Nabber. Она непрерывно сканирует открытые порты компьютера, подключенного к Internet, и перехватывает пакеты, используемые для атаки. Желающие побольше узнать об этой технологии могут почитать ответы на часто задаваемые вопросы по применению Nuke Nabber. Программа распространяется как freeware, после инсталляции ярлык на нее желательно установить в папку Автозагрузка меню Пуск, для того чтобы каждый раз при загрузке компьютера Nuke Nabber запускалась автоматически.

Вместо заключения

Многие, возможно, спросят: зачем нужно было приводить названия программ, предназначенных для компьютерных атак? Ведь в руках агрессивно настроенного пользователя они станут настоящим оружием и приведут к нежелательным последствиям, тем более что принципы использования упомянутых приложений, как мы успели убедиться, могут озадачить разве что дошкольника. Однако, как говорил Суньцзы в трактате "Искусство войны": "Тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении".

В записную книжку сетеголика

Почтовые рассылки, посвященные проблемам компьютерной безопасности:
AUSCERT, www.auscert.org.au
Bugtraq, www.securityfocus.com
CERT, cert-advisory-request@cert.org
COAST Watch, www.cs.purdue.edu/coast/coast-news.html
Firewall Wizards, www.nfr.net/firewall-wizards
IPSec, ipsec@tis.com
Microsoft Security Bulletin, www.microsoft.com/security/subscribe.htm
Netware Hack, nw-hack@dau-48.anthro.ufl.edu
NT Bugtraq, www.ntbugtraq.com
SANS Digest, www.sans.org/digest.htm
Usenix login, www.usenix.org/publications/login/login.html
Inroad, subscribe.ru/catalog/comp.inroad
"Ежики", subscribe.ru/catalog/comp.soft.av.ezheki
"HackZone—обозрение", subscribe.ru/catalog/inet.hackzone