БЕЗОПАСНОСТЬ
“Число атак существенно возросло в 2001 г. и продолжает увеличиваться с угрожающей быстротой. В то время как уровень опасности традиционных атак, таких, как вирусы и отказ в обслуживании (DoS), остается тем же или повышается очень ненамного, на первое место выходят гибридные атаки, которые комбинируют возможности вирусов со сценариями, автоматизирующими использование известных уязвимостей”. Так начинается отчет “Internet Risk Impact Summary”, опубликованный в апреле исследовательским центром X-Force Global Threat Operations Center (gtoc.iss.net) и посвященный исследованию хакерской активности с конца 2001 г. по март 2002 г. Рассмотрим результаты этого исследования, которое планируется проводить ежеквартально.
Активность атак
Доминирующей угрозой в рассматриваемый период стал червь Nimda. Его действия - яркий пример гибридной атаки, называемой также смешанной угрозой (blended threat), продвинутым червем (advanced worm) или гидрой (hydra attack). Подобные атаки инициируются вирусами Code Red, SirCam и Klez. Пострадавшие компании недооценили их опасность и не смогли своевременно противопоставить им эффективные меры защиты. Nimda стал самым известным самораспространяющимся и самоактивизирующимся червем за последнее время. По данным X-Force, он с помощью своего уникального алгоритма атаковал различные системы со средней частотой 3500 нападений в час (самая низкая граница - 800, самая высокая - 8000). А общее число его нападений за квартал составило 7 665 000.
До лета 2001 г., когда впервые появились гибридные атаки, доминировали атаки “отказ в обслуживании” (Denial of Service), число и уровень угрозы которых не упали и сейчас. Однако в связи с эпидемией гибридных атак процентное отношение DoS-атак к общему числу атак упало на порядок (всего - 7,38%). Реже всего встречались “троянские кони” (0,05%), а чаще всего - попытки неавторизованного доступа (31,43%).
Источники атак
Как указано в рассматриваемом отчете, если источник атаки находится во внешней по отношению к атакуемому узлу сети, то идентифицировать его практически невозможно. Это связано со многими факторами - например, злоумышленники нередко атакуют свои жертвы из уже скомпрометированных узлов (как бы с промежуточных площадок) или заменяют адрес источника (тем более что текущая версия протокола IPv4 позволяет сделать это).
Но даже если удастся идентифицировать IP-адрес атакующего узла, то очень трудно, а часто и невозможно идентифицировать человека, который в действительности реализует атаку. Другими словами, нет эффективного способа доказать, что данный пользователь использует данный компьютер в данный момент времени.
Как показывает исследование специалистов X-Force, источники атак зафиксированы во всех странах, имеющих выход в Интернет. Однако большинство их находится в странах с развитой сетевой инфраструктурой - США, Китае и в Европе. Но эксперты советуют не обольщаться, так как эти источники могут быть всего лишь конечной точкой в цепи промежуточных узлов, которые злоумышленники используют для сокрытия следов своей активности (см. статью “Видит око, да зуб неймет” в PC Week/RE, № 13/2002, с. 20).
Порты назначения
Нападающие следуют по пути наименьшего сопротивления. Поэтому наиболее часто (в 67,79% случаев) зимой 2002 г. злоумышленники атаковали 80-й порт, который используется HTTP-протоколом. Помимо широкого распространения Web частота использования этого порта связана еще и с тем, что он практически никогда не блокируется средствами защиты (межсетевыми экранами и списками контроля доступа маршрутизаторов), установленными у провайдеров или на периметре атакуемой организации. Именно поэтому рекомендуется предусмотреть дополнительные меры по защите, такие, как средства обнаружения атак. Но повысить уровень защищенности можно и иным путем - например, закрыв 80-й порт на тех серверах, где не запущено ПО Web-сервера.
Вторым по частоте атак на него после 80-го порта считается 21-й, который задействуется протоколом FTP (9,8%). Третье, четвертое и пятое места занимают 161-й (SNMP), 22-й (SSH) и 25-й (SMTP) порты соответственно.
Время совершения атак
Так как в настоящее время основная угроза исходит от гибридных атак, использующих автоматизированные сценарии (т. е. вмешательство злоумышленника в их действие минимально), то четко выраженного времени, когда осуществляются нападения, специалистами X-Force не выявлено.
Инциденты могут быть зафиксированы в любой момент дня и ночи, а это значит, что защитные меры должны быть задействованы круглосуточного. Однако в России практически нет компаний, обеспечивающих круглосуточный мониторинг безопасности своей корпоративной сети. Как правило, по окончании рабочего дня свои рабочие места покидают и администраторы безопасности, и в результате своевременно реагировать на атаки хакеров некому.
Такая ситуация привела к тому, что сейчас на Западе наметился бум в области аутсорсинговых услуг по информационной безопасности (managed security services). Многие компании передают мониторинг своей сети в руки специалистов, которые круглосуточно контролируют ее и реагируют на возможные угрозы.
Гибридные атаки
Автоматизированная технология нападения, используемая гибридными атаками, нередко позволяет обходить защитные средства, в частности антивирусные системы и межсетевые экраны. Старые формы нападений, такие, как отказ в обслуживании, вирусы, подбор пароля и т. д., могли быть обнаружены и заблокированы одним из типов защитных систем. Однако для остановки гибридных атак, использующих множество стратегий нападения, требуется многоуровневая, эшелонированная линия обороны.
Некоторые производители утверждают, что их антивирусные средства со 100%-ной вероятностью обнаруживают все Интернет-черви. К сожалению, это не так. Гибридные атаки распространяются с помощью различных механизмов, включающих не только рассылку своих копий по электронной почте, но и внедрение на атакуемые узлы через различные Интернет-пейджеры (в частности, ICQ), технологию ShockWave и т. п. Кроме того, эти атаки используют и хакерские методики (например, подбор пароля), против которых бессильны антивирусные системы.
Применение межсетевых экранов также не является эффективной мерой против гибридных атак. Как уже отмечалось выше, около 70% всех атак реализуется через 80-й порт, практически никогда не блокируемый межсетевыми экранами и фильтрующими маршрутизаторами.
Средства построения VPN также не обеспечивают всесторонней защиты. Вредоносный трафик от скомпрометированных узлов будет зашифрован так же, как и от обычных, еще не зараженных. Мало того, данные от этих, якобы защищенных с помощью VPN узлов проникнут во внутреннюю сеть, в которой они уже вероятнее всего не встретят средств защиты. Тем более, что периметровые средства защиты доверяют информации с таких узлов и не ожидают от них пакостей.
Системы обнаружения атак могут идентифицировать и блокировать практически все компоненты гибридной атаки. Однако у этих систем есть один недостаток: они не могут излечивать уже зараженные системы.
Единственной действенной мерой защиты от возрастающей угрозы гибридных атак можно считать только комплексный подход, включающий применение продуктов и услуг, описанных в таблице.
Защита от гибридных атак
О центре X-Force
Центр X-Force объединяет экспертов, проводящих круглосуточные исследования новых хакерских технологий и способов противодействия им. Его специалисты не только постоянно отслеживают все сообщения об обнаруженных уязвимостях, публикуемые другими группами реагирования, но и сами проводят тестирование программных и аппаратных средств. Результаты этих исследований нашли свое применение в различных бесплатных продуктах и услугах, предлагаемых X-Force.
- Онлайновая база X-Force Knowledge Base (www.iss.net/security_center/search.php) содержит подробное описание уязвимостей и способов их устранения. В этой базе можно проводить поиск по различным критериям, включающим название уязвимости, дату обнаружения, уязвимые операционные системы и т. д.
- Бюллетени X-Force Security Alert и Advisories (www.iss.net/security_center/alerts/) описывают новые, недавно обнаруженные уязвимости и атаки. Все бюллетени имеют ссылки на предыдущие связанные темы из X-Force Knowledge Base.
- Публикации X-Force Whitepapers (www.iss.net/support/documentation/whitepapers.php и www.iss.net/support/documentation/otherwhitepapers.php) содержат подробное описание тех или иных хакерских методов и технологий защиты. В числе последних были опубликованы материалы о гибридных атаках “Response Strategies for Hybrid Threats: a New Approach to Protecting Online Information Resources” (documents.iss.net/whitepapers/HybridThreat.pdf) и об атаках, реализуемых с помощью Интернет-пейджеров “Risk Exposure Through Instant Messaging And Peer-To-Peer (P2P) Networks” (documents.iss.net/whitepapers/X-Force_P2P.pdf).
- Обновления X-Press Updates предназначены для систем обнаружения атак и сканеров безопасности, разработанных компанией Internet Security Systems - Internet Scanner, System Scanner, Database Scanner, Wireless Scanner, RealSecure Desktop Protector, RealSecure Network Sensor, RealSecure Server Sensor, RealSecure Guard и RealSecure SiteProtector.
- Списки рассылки Alert, Customer Connect, ISS Forum и X-Press позволяют получать информацию о новых уязвимостях и других новостях X-Force по электронной почте.
- Онлайновый центр X-Force Threat Intelligence публикует информацию о хакерских тенденциях (gtoc.iss.net/graph.html), потенциальных угрозах и т. п. В частности, именно на его сайте был опубликован отчет “Internet Risk Impact Summary”. Кроме того, центр публикует информацию о “горячей десятке” уязвимостей (gtoc.iss.net/topten.php), новых вирусах и т. д.
В настоящий момент центр X-Force концентрирует свое внимание на уязвимостях ОС Windows XP, платформы .Net, гибридных атаках и атаках, реализуемых через приложения “точка - точка” и Интернет-пейджеры. В области ближайших интересов находятся карманные компьютеры, IP-телефония, беспроводные сети, приложения SAP, Oracle, DB2, PeopleSoft, ОС AS400, Windows CE, технологии Corba и DCOM.
С Алексеем Лукацким, автором книг “Обнаружение атак” и “Атака из Internet”, можно связаться по адресу: luka@infosec.ru.
