WWW - дикий, дикий, дикий интернет 23.12.2003 Александр Красоткин Пираньи, пираньевые, пирайи, карибы (Serrasalmidae), семейство хищных рыб отряда карпообразных. Челюсти мощные, зубы острые. Обитают в пресных водоемах Южной Америки. Огромными стаями нападают на любую добычу, вырывая куски мяса из тела жертвы (способны за минуту очистить до скелета довольно крупное животное, например, водосвинку). П. привлекают всплески воды и запах крови. Особенно опасны для человека 4 вида крупных П.; из них наиболее известны обыкновенная П. (Rooseveltiella nattereri), длина до 30 см, и большая П. (Pygocentrus piraya), длина до 60 см.
БСЭ, Жизнь животных, т. 4, ч. 1. — М., 1971. Как проверить, насколько опасно купаться в притоках Амазонки, где водятся пираньи? Как узнать, насколько опасно работать или развлекаться в интернете - виртуальном пространстве, о невиртуальных опасностях которого так много говорят? Ответ на оба вопроса можно получить только опытным путем. В первом случае можно бросить за борт лодки связанного добровольца-испытателя (или любителя бородатых анекдотов), засечь, за сколько секунд пираньи съедят неожиданный подарок, и быстро отплыть, пока благодарные карпообразные не пришли сказать спасибо. Во втором случае в жертву исследовательским целям должны быть принесены компьютеры, подключенные к интернету. Доверим решение первого вопроса профессионалам-ихтиологам и энтузиастам-любителям, а ответ на второй вопрос дали, сами того не подозревая, разнообразные "хищники" интернета, в течение десяти дней взламывая специально предоставленную им сеть. Проведению и итогам этого эксперимента посвящена статья, предлагаемая вашему вниманию. Поскольку в эксперименте ставилась задача количественно оценить степень опасности (что можно сделать, сосчитав число и типы сетевых атак), то в качестве приманки были выбраны не реально существующие сетевые системы (хосты), а их имитации. Которые, впрочем, были достаточно правдоподобны, чтобы ввести в заблуждение взломщиков. Атака виртуального хоста похожа на бой с тенью. Даже в совершенстве владея приемами боя, тени невозможно нанести урон. Атака же виртуального хоста еще интереснее. Цель можно "увидеть", "услышать" и даже напасть на нее, но никак не взломать. Хотя, если запланировано, взломщик после удачного хода может получить сообщение вида: "О да, да. Ты меня взломал. Подожди немного, сейчас приедут ребята из некой организации и привезут приз". В это время человек, установивший хост-приманку, получает детальную информацию об атакующем и о примененных им методах. Предпосылкой возникновения хостов-имитаторов послужила растущая успешность сетевых нападений. Взломщики из объединенной команды профессионалов и любителей намного опережали разработчиков защитных систем. Стало очевидно, что без серьезного изучения методов, психологии и целей взломщиков сложившуюся ситуацию не изменить. В результате появилось несколько проектов, позднее объединенных под общим названием Honeynet. Для изучения целей взломщиков применяются специально подготовленные сетевые системы, позволяющие после вторжения наблюдать за действиями злоумышленников, как за рыбами в аквариуме. Подобные системы стали называть honeypot ("горшок с медом", англ., что можно образно перевести как "приманка"). Сети, образованные из honeypots, получили название honeynets. Это и дало название исследовательскому проекту. В процессе развития проекта Honeynet выделились два вида систем-приманок - исследовательские и промышленные. Первые служат для наблюдения и исследования действий взломщиков. Вторые лишь имитируют уязвимые системы. Их задача - предупредить атаку злоумышленников на рабочие хосты. Имитируя более доступные цели, они "вызывают огонь на себя", тем самым, выявляя злоумышленников и собирая информацию, которая затем передается механизмам защиты. Одна из наиболее интересных промышленных систем honeypot, на базе которой и был поставлен эксперимент - программа Honeyd. Разработчик - Нильс Провос. Программа распространяется по лицензии BSD. Адаптировал Honeyd для работы на системах семейства Windows Майкл Дэвис. Honeyd создает виртуальные сетевые системы. Запустив ее на сетевом компьютере, можно имитировать до 65535 хостов. Для каждого из них есть возможность задать свою конфигурацию. Одно из основных достоинств Honeyd - способность имитировать до 563 различных операционных систем и их модификаций, для чего используются базы данных сетевых сканеров nmap и xprobe. Даже изощренные методы исследования не отличат созданные Honeyd виртуальные хосты от их реальных аналогов. Работа сетевых сервисов имитаций обеспечивается выполнением несложных интерактивных программ - сценариев или пересылкой (проксированием) запросов к существующему рабочему сервису. Помимо этого, виртуальные хосты можно объединять в сеть. Задав топологию одной или нескольких виртуальных сетей, установив схему маршрутизации и определив процент потерь пакетов, можно внушить взломщику ощущение легкой добычи и отвлечь его внимание от рабочей сети.
Для проведения эксперимента при помощи Honeyd была создана небольшая виртуальная сеть: маршрутизатор Cisco 2621 (IOS 12.1(6)) и персоналки под управлением Linux Red Hat 7.3 (ядро 2.4.18), FreeBSD 5.0, OpenBSD 3.0, Windows 98SE, Windows 2000 Professional. Список сервисов приведен в таблице. (см. след. страницу) Примечание Для проведения эксперимента были выбраны сетевые адреса, длительное время не использовавшиеся, что позволило свести к минимуму процент случайных обращений ("ой, это я по старой ссылке зашел"). Обнаружить экспериментальные хосты можно было только специальными методами исследования сетей - сканированием. Традиционно считается, что обычные "сетяне" этими методиками не пользуются. При подключении к сервисам выводилось текстовое сообщение (разумеется, там, где такая возможность предусмотрена) об ответственности за несанкционированное использование ресурсов или попытку взлома. Если это не останавливало любознательного гражданина, то, в свою очередь, начинали собираться доступные данные о нем самом, для чего были задействованы сетевые сканеры nmap, amap и xprobe2, а также сетевая система обнаружения вторжений snort. При помощи сканера xprobe2 определялись тип и версия операционной системы хоста, откуда велось исследование или предпринималась попытка взлома приманки. Сканер nmap собирал информацию об открытых сетевых портах нападающего хоста, а сканер amap на основе полученных данных определял типы доступных сервисов. Система обнаружения вторжения snort расширила реализованный в Honeyd механизм документирования действий нападающего сбором информации о деталях реализации сетевых атак.
Данные собирались в течение десяти дней. Представим проанализированные результаты эксперимента в виде списка кратких тезисов:
Приведу также несколько цифр для любителей статистики. За время эксперимента было отмечено 2359 сетевых инцидентов. В среднем, за сутки регистрировались различные атаки со 184 уникальных хостов, а за весь период были зарегистрированы попытки взлома с 1143 уникальных хостов. Суммарный объем трафика нападающих составил примерно 130 Мбайт; из них 53 Мбайт приходится только на два инцидента (попытка взлома DNS-сервера и службы Windows - microsoft-ds). Разумеется, результаты говорят только о статистике атак, а не отражают показатели надежности той или иной операционной системы.
Следует также добавить, что предметом интереса начинающих взломщиков являются не какие-либо корпоративные сетевые ресурсы, а адреса интернет-провайдеров, под которыми работают машины, подключившиеся по модемным соединениям. Степень их защищенности обычно очень низка. Защиту (если здесь вообще применимо это слово) легко взломать и похитить данные о логине и пароле для подключения к интернет-провайдеру. Довольно часто такой "хакер", подключившись к тому же провайдеру, часами сканирует других клиентов, взламывая и собирая их данные. Ни о каком "высоком искусстве взлома" здесь не может быть и речи, это тривиальное воровство. Но вообще-то, таких "взломщиков" и ловят чаще всего. Эксперимент закончен. Данные проанализированы. Владельцы интернет-ресурсов, с которых были произведены атаки, поставлены в известность. Пора подводить итоги. Из анализа собранной информации легко прийти к заключению, что интернет - достаточно агрессивная среда. Но реальная опасность сетевого вторжения, как и агрессивность пираний, часто преувеличивается. Туземцы изучили особенности поведения этих рыб-хищников. Они спокойно купаются в реке в сезон дождей и не торопятся входить в воду в засуху. Соблюдая эти простые правила безопасности, индейцы спокойно живут рядом с Амазонкой, рассказывая за пару монет страшные сказки туристам. Так и в интернете соблюдение простых правил безопасности (брандмауэр + антивирусная защита + обновленное программное обеспечение + немного здравого смысла) поможет значительно повысить защищенность сетевой системы. А от трагических случайностей и от внимания профессионалов и кайманов не застрахован никто.
|