Aнтиxaкинг

В предыдущей главе мы попытались показать современный уровень угроз от действий хакеров в виртуальном киберпространстве. Учитывая многочисленность, уровень технической оснащенности и профессионализм хакерских вторжений, а также наносимый ими урон, можно сделать вывод - ныне в виртуальном пространстве наступила эра кибертерроризма. И все читатели предыдущей главы должно быть уже задают себе вопрос - а что же делать в ответ на действия всякого рода личностей, густо населяющих виртуальное киберпространство? Ответ прост - защищаться, и в этой главе мы познакомимся с тем, что может сделать антихакер в ответ на действия своего антипода.

В настоящее время самая распространенная тактика борьбы с кибертеррором - сдерживание, т.е. меры пассивной обороны. Именно такой метод предлагают нам все многочисленные руководства по системам защиты, в которых описывается традиционный набор средств защиты, включающих применение антивирусов, брандмауэров, парольной защиты, шифрования и многое другое.

Однако мер, предлагаемых тактикой сдерживания, ныне явно недостаточно. Чтобы эффективно защитить свою компьютерную систему, порой компьютерному террору следует противопоставить меры компьютерного антитеррора, под которыми подразумевается выполнение антихакером действий, пресекающих исполнение хакерской атаки, как непосредственно в ходе ее выполнения, так и превентивно. Эта тактика антитеррора должна быть позаимствована из реальной жизни и опираться на фундаментальный принцип реального, т.е. не спортивного или игрового поединка - для победы в виртуальной схватке антихакеру следует применять любые действия, адекватные угрозе и ситуации на поле боя, отнюдь не ограниченные только блокированием ударов противника. Антихакер должен победить - а для этого следует отразить атаку хакера и пресечь возможные повторные попытки вторжения. Последнее предполагает выполнение превентивных действий для приостановки враждебной деятельности кибертеррористов.

Все зависит от ситуации: став объектом навязчивого преследования со стороны всякого рода личностей, бродящих по Интернету в поисках поживы, иногда требуется принять более активные меры самообороны, позаимствовав кое-какие методы у своих противников (конечно, в рамках закона). Например, заметив попытки вторжения в свой компьютер, ведущиеся с определенного IP-адреса, можно просто закрыться брандмауэром, т.е. прибегнуть к пассивной обороне, а можно выявить координаты хакерского компьютера и попытаться пресечь его действия с помощью разнообразных мер воздействия. Последний метод относится к мерам активной обороны, которые могут включать действия, позаимствованные у самих же хакеров.

Например, можно с помощью специальных утилит выявить IP-адрес нарушителя и, воспользовавшись одной из баз данных Whols на сайтах Интернета (например http://www.ripe.net) со сведениями о владельцах зарегистрированных IР-адресом Интернета, выявить физическое расположение хакера. Или можно отправить по выявленному IP-адресу хакера сообщение с предупреждением о последствиях, а то и предпринять более решительные меры, например, атаку DoS, имеющую целью остановить деятельность хакерского компьютера. Последний метод весьма эффективен в случае, когда вы стали объектом распределенной атаки DoS, когда с множества компьютеров-зомби на ваш компьютер отправляются пакеты, перегружающие линию связи и мощности процессора.

Вступив в такой поединок с хакером, антихакер должен следовать правилам ведения боя, принятым в реальном мире, в соответствии с которыми все действия в ответ на нападение распадаются на три этапа.

• Анализ ситуации.

• Принятие решения.

• Ответные действия

Попробуем разобраться детальнее.

Во-первых, антихакер должен научиться контролировать ситуацию и уметь определять, что на него совершено нападение. В реальном мире признаки нападения очевидны - скажем, к зданию банка подъезжает несколько автомобилей, из которых выходят крутые ребята с автоматами наперевес, входят в операционный зал... ну и так далее, надеюсь, все читатели хоть бы раз, да смотрели голливудские кинобоевики. Орудующие в киберпространстве хакеры, как уже говорилось, стараются действовать скрытно и не оставлять после себя отпечатков пальцев. Квалифицированный хакер, закончив «работу», тщательно заметает все следы своей деятельности. Поэтому первая задача антихакера состоит в выявлении признаков вторжения в свою систему, как непосредственно во время атаки, так и после ее завершения.

Перечислим признаки, по которым антихакер может определить, что система подвергается (или уже подверглась) хакингу.

Подозрительные события

В любой компьютерной системе непрерывно происходят события, состоящие в изменении состояния ее компонентов, например, информационных ресурсов. Эти события состоят из двух частей - действия, например, чтения, записи, изменения данных, и его адресата, например, файла, или процесса операционной системы. Система защиты ограничивает все возможные события, которые могут произойти в системе, не допуская, к примеру, чтения закрытых данных не имеющим на то прав пользователем. Такого рода ограничения называются политикой безопасности, и если в системе происходят многократные события, нарушающие установленную политику безопасности, то это может быть интерпретировано как признак хакерской атаки.

К числу таких признаков относятся, например, многократные попытки неудачной входной регистрации, или обращения к закрытому для несанкционированного доступа файлу. Другой метод выявления признаков атаки состоит в обнаружении подозрительных событий за определенный промежуток времени. Например, поступление множества сетевых пакетов определенного типа за короткий интервал времени может свидетельствовать о попытке сетевого сканирования портов компьютера. Наконец, выявить подозрительные события можно, опираясь на определенные шаблоны атаки, т.е. выявленную последовательность действий хакера по взлому компьютерной системы - например, выявление сетевых пакетов со специально искаженной структурой (зафиксированной в шаблоне) может свидетельствовать о попытках определения типа операционной системы.

Неправильное исполнение команд

Неправильное, необычное поведение системы в ответ на команды пользователя может свидетельствовать о подмене хакером подлинных процедур операционной системы хакерскими. Хакер может сделать это, к примеру, с помощью упомянутых в уроке 1 «руткитов» - комплектов программ, подменяющих средства входной регистрации пользователей и другие важные процедуры системы защиты. Содержащиеся в «рутките» программы могут, например, выполнять сбор паролей пользователя и отправку их на определенный почтовый адрес Интернета. Подробнее «руткиты» обсуждаются в уроке 7.

Попытка выявления и использования уязвимостей

Как мы уже обсуждали в уроке 1, в настоящее время хакеры активно используют базы данных уязвимостей и атак, поддерживаемые различными организациями, занятыми вопросами сетевой безопасности. При этом для выявления уязвимостей атакуемой системы хакеры используют многочисленные сканеры безопасности, например, приложение Retina (http://www.retina.com). Таким образом, одним из признаков атаки могут служить попытки сканирования компьютерной сети, исходящие из внешнего компьютера.

Подозрительный сетевой трафик

Для выявления признаков атаки можно использовать некоторые параметры сетевого трафика. Например, поступление извне в локальную сеть пакетов, у которых адресом источника указан внутренний адрес локальной сети, свидетельствует о сетевой атаке, при которой хакер пытается обмануть систему сетевой защиты, настроенную на отбрасывание сетевых пакетов из внешних источников (сетевой «спуфинг»).

Другими подозрительными признаками атаки могут быть непонятные события перегрузки сети, или внезапное появление в сети большого числа пакетов небольших размеров, называемых фрагментированными пакетами - на таком трюке основаны некоторые хакерские атаки на системы, защищенные брандмауэрами.

Непредвиденные параметры функционирования системы

Непонятные отказы в запуске серверных служб, или внезапная перегрузка серверного процессора могут свидетельствовать об атаке DoS. Другой причиной перегрузки процессора может быть хакерская атака на компьютер локальной сети, при которой используется подбор паролей методом перебора. Еще один признак атаки может состоять во внезапных попытках запроса нетрадиционных служб, например, любимой всеми хакерами службы Telnet. Маниакально подозрительные сетевые администраторы могут даже контролировать место и время сеансов работы с сетевыми компьютерами сотрудниками организации, поскольку еженощные бдения за компьютером с интенсивным использованием специфических программ и ресурсов - это, знаете ли, подозрительно как-то...

Где же можно найти информацию, необходимую для выявления перечисленных выше признаков атаки? Для этого существуют специальные журналы, которые ведут программы защиты компьютерной системы.

• Журналы регистрации системных событий. Например, журнал безопасности Windows 2000/XP, регистрирующий события аудита, или журнал действий пользователя, создаваемый программами компьютерной полиции, типа, например, клавиатурного регистратора STARR.

• Журнал сетевого трафика. Запись трафика, приходящего и исходящего из компьютера с помощью специальных программ, например, утилиты TCPDump.

• Сообщения программы обнаружения вторжений в режиме реального времени. Такие программы называются системами IDS (Intrusion Detection System - Система обнаружения вторжений в режиме реального времени). Это специальная программа (например, популярная утилита Blacklce Defender), которая в реальном масштабе времени отслеживает сетевой трафик с целью выявления признаков вторжения, руководствуясь шаблонами атак. Как правило, системы IDS также ведут журналы регистрации событий безопасности для последующего анализа пользователями.

Итак, для выявления признаков вторжения вы должны непрерывно контролировать большой объем информации, содержащийся в различных журналах регистрации, в сообщениях различных программ и в отчетах о различных событиях компьютерной системы. Более того, получив достаточные доказательства наличия попыток вторжения в компьютер, еледует проанализировать ситуацию -ведь не каждая попытка сканирования портов компьютера означает атаку на систему. Понятие атаки включает в себя характеристику повторяемости, устойчивости появления подозрительных событий безопасности, что может свидетельствовать о целенаправленном хакинге системы.

Анализ признаков вторжения может быть весьма трудоемким делом, поскольку эбъем информации, фиксирующей все замеченные события безопасности, может быть весьма велик. Поэтому такой анализ может выполняться с помощью следующих автоматизированных методов наблюдения за компьютерной системой:

• Контроль целостности файлов и папок. Для этого можно воспользоваться средствами аудита Windows 2000/XP или описываемых в последующих главах специальными утилитами, например, программой FileWatch 1.00 контроля обращений к файлу из пакета foundstone_tools (http://www.foundstone.com).

• Контроль записи в системный реестр. Например, по записям в системном реестре можно выявить Троянского коня - программу, скрытно собирающую сведения о работе пользователя на компьютере. Для этого существует множество специальных утилит, например, популярная программа TCMonitor из пакета The Cleaner (http://www.moosoft.com).

• Анализ журналов регистрации. В принципе, пользователи могут и сами просматривать журналы безопасности Windows 2000/XP в поисках подозрительных событий, типа попыток подбора пароля для входной регистрации, регистрации из необычного места в необычное время, попыток обращения к закрытым данным. Однако имеются программы, облегчающие и автоматизирующие решение такой задачи, например, утилита RealSecure (http://www.iss.net).

• Анализ сетевого трафика. Для выявления попыток сканирования, инвентаризации, определения типа операционной системы и сетевых атак DoS следует контролировать структуру получаемых сетевых пакетов. Это можно делать либо самостоятельным анализом журналов сетевого трафика, либо прибегнуть к системе IDS, например, программе BlacklCE Defender (http://www.iss.net).

• Анализ процессов. Примером такого анализа можно назвать выявление запущенных Троянов. Конечно, можно самостоятельно просматривать запущенные процессы, включая скрытые, однако это достаточно сложное дело. Для анализа запущенных процессов, в том числе, в режиме реального времени, лучше всего прибегнуть к специальной утилите, типа программы TCActive из пакета The Cleaner (http://www.moosoft.com).

• Анализ открытых портов. Слежение за открытием портов в режиме реальног времени позволяет избежать многих неприятностей, и для решения такс задачи можно прибегнуть к специальным утилитам, например, програм.У: Attacker 3.0 из пакета foundstone_tools (http://www.foundstone.com).

• Обнаружение нелегальных устройств. Если в сетевой компьютер нелегальн; в обход системы защиты, установить модем, то сеть превращается в npoxoz ной двор. Для контроля установленного оборудования можно воспользовать ся как встроенными средствами операционной системы Windows, так и пр^ бегнуть к специальным утилитам инвентаризации, например, предоставляв мым пакетом SOLARWINDS (http://www.solarwinds.com).

В последующих уроках мы обсудим работу с перечисленными выше программными инструментами антихакинга по мере того, как будем углубляться в методы, применяемые хакерами для вторжения в систему. Но все эти инструменты применяются для решения только первой задачи, стоящей перед хакером - обнаружения вторжения.

Но вот вторжение налицо. Вы определили, что в системе сидит Троянский конь и каждый день по портам компьютера стучат хакеры, пытающиеся побудить этого коня к действиям. Что же делать дальше?

Первая реакция «хакнутого» пользователя может быть самая разная, но чтобы не наломать дров, вначале следует выключить компьютер и подумать с целью принятия решения о последующих действиях. Принятие решения должно основываться на реальной оценке ситуации. Следует выявить, с чем вы столкнулись -с результатом случайного вторжения, или с настоящим противником, ведущим целенаправленный поиск доступа именно к вашему компьютеру. Ведь может быть и так, что пойманного вами Троянского коня вы сами же и установили у себя на компьютере, загрузив из Интернета какую-либо программку без всякой антивирусной проверки. Или возьмем те же сетевые атаки - попробуйте, хотя бы из любопытства, установить у себя на компьютере любую утилиту IDS, например, программу BlacklCE Defender - и вы сами, наверное, удивитесь числу атак, идущих на ваш компьютер со всех сторон света. Эти атаки ведутся наугад, в надежде зацепить компьютер с открытыми для доступа ресурсами (а таких -большинство).

Немаловажно также функциональное предназначение атакованного компьютера. Одно дело, если этот компьютер представляет собой сервер Интернета и подсоединен к локальной сети организации. Другое дело, если атакованный компьютер стоит у вас дома. Понятно, что методы и возможности противостояния ха-керским атакам у пользователей таких компьютеров весьма разнятся.

Известно, что ныне, в связи с широким распространением домашних компьютеров, подсоединенных к Интернету по выделенной линии связи 24 часа в сутки, домашние компьютеры стали притягательными для хакеров, которые могут, например, использовать их для распределенных атак DoS. Таким образом, сами того не подозревая, вы можете стать причиной больших неприятностей у весьма влиятельных организаций.

В любом случае ясно, что возможности владельцев атакованных компьютеров активно противостоять хакингу могут сильно отличаться в ту или иную сторону. А что если хакер действует с территории другого государства и, к тому же, использует прокси-сервер для прикрытия своего местопребывания? Вряд ли обычный пользователь Интернета сможет предпринять ответные меры, базирующиеся на локализации места пребывания хакера в реальном мире и привлечения его к ответу. Но вот в виртуальном... Посмотрим, что мы можем сделать там, где границы - вещь весьма условная.

Как учат Боевые Уставы всех армий мира, всякая оборона может быть пассивной и активной. По нашей терминологии, подвергнувшись хакингу, можно либо прибегнуть к тактике сдерживания (пассивная оборона), либо можно перейти в контратаку (активная оборона). Рассмотрим эти меры поподробнее.

Пассивная оборона

Пассивная оборона - это наиболее широко распространенная тактика реагирования на действия хакеров. Построение системы защиты в этом случае сводится к определению возможных угроз компьютерной системе и выработке соответствующих мер для обеспечения безопасности. Если эти меры относятся к большой организации, они называются политикой безопасности. Для создания пассивной обороны создано множество технологий, применение которых обусловлено характером угроз компьютерной системе и прочими факторами, включая финансовые [2].

Ранее, в уроке 1, указывалось, что хакеры могут вторгаться в компьютерную систему многими путями - с помощью локального доступа, через Интернет, через локальную сеть или через телефонную линию связи. Все эти угрозы должны быть оценены, и система защиты должна предусматривать все варианты проникновения. Конечно, защита большой корпоративной сети, связывающей множество компьютеров, строится иначе, чем защита домашнего компьютера или небольшой офисной сети. Однако во всех случаях для создания системы защиты могут быть применены следующие методы, доступные большинству обычных пользователей:

• Контроль физического доступа. Общее мнение специалистов по хакингу таково - получив локальный доступ к компьютеру, взломщик сможет сделать с ним все, т.е. рано или поздно, но все системы защиты компьютера будут взломаны. Так что не стоит бросать компьютер, даже на краткое время, не обеспечив функционирование входной защиты, например, с помощью заставки с паролем, предоставляемой системами Windows 2000/XP. Наиболее же ценное оборудование должно находиться под замком, что в особенности касается сетевых серверов. При наличии особых обстоятельств (высокая секретность информации, параноидальные наклонности системного администратора) следует рассмотреть более сложные меры физической безопасности включая защиту от прослушивания электромагнитного излучения.

• Настройка системы защиты операционной системы. Системы Windows 2000/XP снабжены мощными средствами защиты, которые должны быть использованы в первую очередь. Защита Windows 2000/XP снабжена всеми тремя компонентами обеспечения безопасности, называемыми методами «ЗА» - аутентификация, авторизация, аудит - которые применимы для защиты от вторжений ка в локальный компьютер, так и в сеть компьютеров Windows 2000/XP. Mы обсудим возможности системы защиты Windows 2000/XP в уроке 4.

• Криптографическая защита. Важные данные следует шифровать. Это относится к файлам и папкам системы, сообщениям электронной почты и информации передаваемой по сети. Для шифрования можно применить множество утилит например, пакет PGP Desktop Security (http://www.pgp.com), или средств, шифрования файловой системы NTFS. Даже слабое шифрование, предлагаемое программами-архиваторами типа WinRAR, все же лучше, чем оставление важ ных файлов без всякой защиты. Для защиты сетевых коммуникаций следует применять технологии VPN (Virtual Private Network - Виртуальные защищенные сети), шифрующие пересылаемую между компьютерами информацию.

• Брандмауэры и системы IDS. Подключение к Интернету без брандмауэра ныне приравнивается к самоубийству. В систему Windows XP даже включен брандмауэр, защищающий подключения к Интернету. Контролировать внешний доступ к корпоративной сети можно с помощью брандмауэров, например, WinRouter, со специально настроенными параметрами доступа, или с помощью системы IDS, например, BlacklCE Defender, анализирующей входной трафик в режиме реального времени. Также для защиты можно использовать утилиту, отслеживающую сетевые подключения и открытые порты компьютера в режиме реального времени, например, Attacker 3.0 из пакета foundstone_tools (http://www.foundstone.com).

• Сканеры безопасности. Как говорит пословица, «готовь сани летом» - лучше заранее проверить устойчивость системы к сетевым атакам, чем ждать, пока это сделает какой-то там «кул хацкер». Эту проверку можно выполнить с помощью специальных программ, сканирующих компьютер для выявления его уязвимостей к различным атакам в зависимости от настроек системы защиты. Примером такого сканера является уже упомянутое приложение Retina.

• Контроль целостности. Мы уже говорили о контроле целостности применительно к задаче выявления признаков вторжения. Периодическая проверка целостности исполняемых файлов - весьма действенный метод защиты. Поэтому системы Windows 2000/XP предоставляют средства для проверки целостности файлов операционной системы, которыми не грех и воспользоваться, или же можно прибегнуть с этой целью к программам сторонних производителей.

• Антивирусы. Чтобы выявить попадание вирусов в компьютер, можно воспользоваться универсальной антивирусной программой, например, Norton Antivirus, MacAfee VirusScan, или утилитой The Cleaner, эффективно отслеживающей Троянов.

Активная оборона

В принципе, вышеперечисленные программные средства пассивной обороны, будучи правильно настроены, вполне способны отразить какую угодно хакерскую атаку. Когда корпорация Microsoft создала свою систему Windows 2000, всем хакерам мира был брошен вызов - им было предложено попытаться взломать сервер на базе системы Windows 2000. В результате ни одна атака не была признана вполне успешной - возможно, по той причине, что хакеры еще не набрались опыта работы с тогда еще новой и неизвестной им системой.

Таким образом, что бы там не говорили и не писали (например, в выпусках журнала «Хакер»), система защиты Windows 2000/XP - это весьма надежная вещь другое дело, что, как правило, ее средства не используются в полной мере). Дополните средства Windows мощной антивирусной программой Norton Antivirus компании Symantec, системой IDS в лице программы BlacklCE Defender - и вы сможете без особой опаски гулять по виртуальному миру киберпространства, не забираясь, однако, в самые темные уголки. Так что пассивная оборона - это то, с чего следует начать, поскольку довольно смешно выхватывать из кобуры (или где вы там его носите) свой верный парабеллум, и начинать пальбу при малейших признаках нападения, подвергая себя риску быть зачисленным в список нарушителей спокойствия киберпространства.

Однако бывают случаи иного рода, когда вы становитесь объектом целенаправленного хакинга со стороны разного рода личностей, включая своих сотрудников. Вот TNT-TO и могут пригодиться кое-какие методы активной обороны, и в набор ответных действий антихакинга должны быть включены любые методы, которые позволят эффективно устранить возникшую угрозу, в том числе всякие хакерские штучки. Ниже перечислены некоторые, но не все, меры активной обороны.

• Локализация хакерского компьютера. Например, в случае сетевой атаки можно с помощью программ IDS анализа сетевого трафика в режиме реального времени выявить IP-адрес хакерского компьютера. Или же, став объектом спамминга, можно попытаться выявить адрес почтового сервера отправителя и попробовать договориться со спаммером на понятном ему языке. Вариантов действий тут предостаточно - например, любителям потрошить чужие Web-сайты можно уже при загрузке главной страницы сайта сообщать IP-адрес посетителя (выявив его с помощью сценария) и предупреждать о недопустимости всяких шуточек (кое-где эта мера уже реализована). Ну и так далее, по мере изложения материала книги мы будем уточнять возможные применения хакерских инструментов для целей антихакинга.

• Сбор сведений о хакере. Локализовав хакерский компьютер в виртуальном мире, можно, подобно тому, как это делают хакеры, по IP-адресу выявить расположение хакерского компьютера в реальном мире, например, с помощью серверов WhoIS, активно используемых хакерами для поиска своих жертв. Эти серверы (например, компании RIPE NCC по адресу http://www.ripe.net) предоставляют обширную информацию о владельцах зарегистрированных IP-адресов Интернета, включая адреса и телефоны провайдеров Интернета. Так что, установив провайдера Интернета своего обидчика, в принципе не безнадежно попытаться убедить его ограничить деятельность клиента его сервера от посягательств на вашу личность. Ведь действия хакера зафиксированы в регистрационных базах данных серверов ISP и даже базах прокси-серверов, которые служат прикрытием для хакерских атак. Этот путь открыт даже для владельцев домашних компьютеров. Кстати, эффективность таких мер защиты косвенно подтверждает тот факт, что, судя по некоторым публикациям (см., например, [5]), сами хакеры не прочь потрепать людям нервы, рассылая провайдерам Интернета письма со всякими клеветническими измышлениями о своих жертвах (например, обвиняя их в спам-минге). Есть и другие методы, и мы опять-таки будем обращать на них внимание антихакера при обсуждении средств хакинга компьютерных систем.

• Активные действия. Вообще-то методы антихакинга из предыдущего пункта - это уже активные действия, но в данном случае имеется в виду атака в штыки - если вам ужасно надоел какой-то «кул хацкер», настойчиво стучащий по входным портам вашего компьютера, забрасывающий ваш почтовый ящик письмами с вирусными вложениями и так далее и тому подобное, и на которого не действуют никакие предупреждения и уговоры, можно выскочить из окопа и дать очередь по врагу, послав в его направлении лавину пакетов, применяемых, например, для атаки DoS. Если вам повезет, то компьютер хакера может и замолчать. Для такой атаки применимы, например, утилит DDoSPing или UDP Flood из пакета foudstone_tools, специально предназначенные для борьбы с компьютерами-зомби, используемыми для распределенных атак DoS, чаще всего, без ведома хозяев. Или же сами зашлите спам-меру в ответ сотню-другую писем, воспользовавшись одним из мэйлбомбе-ров, описанных в уроке 10. Имеются и другие методы активных действий, которые мы опишем по мере изучения средств хакинга.

Хакинг и антихакинг - это две стороны нашего бытия в виртуальном мире, пребывая в котором мы по нескольку раз в день вынужденно переходим из одного лагеря в другой - ведь и хакеру нужна защита, хотя бы от своего коллеги по роду деятельности. При таких переходах меняются только мотивы действий, но не методы; борьба между этими лагерями с переменным успехом идет во всех уголках виртуального пространства, не затихая ни на минуту, и конца-края ей не видно. Оружие и методы, применяемые обеими сторонами, можно сравнить со щитом и мечом - и для обеих сторон конфликта требуется и то, и другое, поскольку нельзя нападать только с мечом в руках, и нельзя защититься с одним только щитом. Мы уже обсудили, из чего состоит оружие обороны - щит, теперь посмотрим, из чего состоит оружие нападения - меч.