БЕЗОПАСНОСТЬ

Они используют методы и тактику "ганноверского хакера"

Деннис Фишер

Даже если бы недавние взломы UNIX- и Linux-систем, работающих в суперкомпьютерных центрах и исследовательских лабораториях университетов по всей Америке, не имели никаких последствий, все равно они в очередной раз бы доказали, что ничто не ново под Луной.

Для ветеранов войны на поле компьютерной безопасности модель, по которой осуществлялись атаки, выглядит зловеще знакомой. Она почти идентична методам и тактике "ганноверских хакеров", которые в 1986 г. взломали машины под управлением UNIX в Национальной лаборатории г. Беркли (шт. Калифорния) и ряде других университетских и военных центров. Клиф Стол, в ту пору добровольный системный администратор в лаборатории Беркли, на протяжении многих месяцев выслеживал инициаторов вторжения, возможно, с привлечением ФБР и ЦРУ, и описал свои приключения в книге "Кукушкино яйцо: выслеживание шпиона в лабиринтах компьютерного шпионажа".

Теперь, спустя 15 лет, этот сценарий разыгрывается вновь. Несмотря на технологический прогресс и усовершенствования приемов обеспечения безопасности прекрасно подготовленным профессионалам по-прежнему трудно защитить свои сети от внимания отпетых взломщиков. В истории Клифа Стола была развернута интрига времен "холодной войны", закончившаяся разоблачением немецкой шпионской сети и приговором для шести человек. Не похоже, чтобы последний эпизод имел те же корни, но его уроки те же.

Действительно, в Станфордском университете вторжение было обнаружено с помощью практически тех же средств, которыми пользовался Стол при охоте на взломщиков Лаборатории Беркли: неудачные попытки входа в систему и замедление работы по сравнению с обычной.

В последних атаках, которые происходили на протяжении неопределенного времени весной этого года и коснулись десятков машин в нескольких высокопроизводительных компьютерных центрах, использовался ряд известных уязвимостей Solaris и Linux. Нападавшие получили полный доступ практически к неограниченным компьютерным ресурсам, которыми обладают эти центры. Методы атакующих не отличались новизной или хоть какой-то оригинальностью. Они начали с использования самой старой техники взлома - получения пароля.

О брешах в защите, через которые нападавшие получили доступ к компьютерам в Станфорде, уже стало широко известно. Выпущены заплатки для латания этих дыр.

Согласно анализу данного инцидента, размещенному на веб-сайте Станфордского университета, получив права непривилегированного пользователя на определенной машине, атакующие использовали одну из уязвимостей операционной системы, чтобы повысить свой статус до "корневого" пользователя. После этого они обычно устанавливали на взломанной хост-машине свою программу и конфигурировали компьютер для будущих вторжений путем добавления собственного ключа к списку действующих ключей для Secure Shell - инструмента, применяемого для установления безопасных сессий с удаленным администратором.

Таким образом были взломаны компьютеры в Станфорде, в Национальном суперкомпьютерном центре по энергетике и окружающей среде (National Supercomputing Center for Energy and the Environment) в Лас-Вегасе, в суперкомпьютерном центре Сан-Диего (San Diego Supercomputer Center - SDSC) и на некоторых площадках TeraGrid - распределенной сети суперкомпьютерных центров. Представители Станфорда и SDSC заявили, что они быстро обнаружили проникновение и не понесли существенного ущерба.

Но, как и в истории Стола, главную роль в атаке на суперкомпьютерные центры сыграли ничего не подозревающие пользователи и плохая защита.

"Это просто дежа-вю. Они начинают со взлома файла со списком пользователей, что ведет к атаке на хранящиеся пароли, затем следует полный доступ, потом установка программного обеспечения и так далее, - сказал Марк Раш, главный советник по безопасности в корпорации Solutionary и бывший прокурор, участвовавший в процессе над "ганноверскими хакерами". - Это опытные пользователи, которые не так просты. Кремний - это прекрасно. А нам приходится иметь дело с углем.

Последние атаки заставили некоторые из подвергшихся нападению центров отключить ряд компьютеров и провести трудоемкое расследование и процедуры чистки. После этого сотрудники службы безопасности SDSC изучили базу данных своих пользователей, выявляя простые легко угадываемые пароли, и предложили сменить их. Это правильная политика, считает Раш, но она запоздала.

"Все эти контрмеры - весьма эффективные способы запереть конюшню после того, как лошадь ее уже покинула, - говорит Раш. - Если этот парень умен, то кроме привилегированного он создал и другие способы входа в систему, которые до сих пор не найдены. А произведенные ими действия могли носить и подготовительный характер".