Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Информационные сообщения по новым атакам и способам взлома, статистика по инцидентам

• [Jul24 - Aug14] Security Info digest #36

Новости компании

• Подписано партнерское соглашение между ярославской компанией ИНКАП и компанией Инфотекс.
  
  

Детекторы атак на приложения постоянно проверяют журнальные файлы и системные переменные в поисках определенных условий, наличие которых может служить предвестником готовящейся атаки на приложение. Хотя они представляют собой полезные, нужные механизмы, ориентированные на приложения системы трудны в управлении и реализации, так как критически важным сетевым приложениям каждого вида требуется своя система выявления атак. Они должны стать последним рубежом защиты от тех изощренных атак, которые их инициаторы сумели достаточно хорошо замаскировать, чтобы обмануть системы выявления атак на сеть и хосты.

Контролеры на выходе
Идея установки программного обеспечения выявления атак на маршрутизаторах всегда воспринималось со значительной долей скепсиса, так как проверка каждого пакета в поисках сигнатуры атаки обычно отнимает значительную часть общей производительности маршрутизатора. Однако краевые маршрутизаторы предоставляют прекрасную возможность для распознавания и предотвращения атак еще до того, как они проникнут внутрь корпоративной сети, где ущерб от них может оказаться намного существеннее.

Реализованная на краевом маршрутизаторе простая методика фильтрации позволяет гарантировать, что ваша компания не станет стартовой точкой для организации атаки DDoS. Применяемые при этом так называемые выходные фильтры представляют собой набор правил для проверки исходящих пакетов и анализа адреса их отправителей. Поскольку используемые с внутренней стороны краевого маршрутизатора сетевые адреса, как правило, известны, маршрутизаторы могут отфильтровывать пакеты, чьи адреса отправителя не соответствуют их сетям.

Это позволяет фильтровать потенциально подделанный трафик, обычно наблюдаемый, когда злоумышленники захватывают ничего не подозревающий хост и отправляют с него пакеты на выбранную ими цель где-нибудь в Internet. Многие провайдеры Internet стали реализовывать выходные фильтры на всем управляемом ими оборудовании в помещениях заказчика (Customer Premises Equipment, CPE).

Проект противодействия атакам
Как только вы выбрали аппаратное и программное обеспечение для обнаружения атак, следующий шаг в реализации эффективной системы выявления атак состоит в составлении диаграммы всей сети, в которой четко указаны пять элементов.

Во-первых, это отдельные сетевые сегменты (к примеру, от маршрутизатора к маршрутизатору) вместе со списком сетевых протоколов и типичной нагрузкой, которая, по вашему мнению, будет характерна для каждого сегмента. Изобразите на гистограмме (отложив по оси X время дня) типичную для каждого из этих сегментов сетевую нагрузку. Во-вторых, это границы сегментов, такие, как маршрутизаторы, коммутаторы и брандмауэры. В-третьих, это заслуживающие и не заслуживающие доверия объекты, такие, как известные локальные и удаленные пользователи, партнеры по бизнесу, анонимные пользователи и потенциальные клиенты электронной коммерции. В-четвертых, все серверы (хосты) и службы (демоны, работающие на каждом хосте). Наконец, в-пятых, списки контроля доступа (Access Control List, ACL) на границе каждого сегмента и на каждом сервере.

Основная идея состоит в максимально подробном описании вашей сети. Вооруженные этой информацией, вы сможете затем составить план реализации всеобъемлющей системы выявления атак. (Смотрите врезку "План действий для выявления атак" с подробным описанием десяти основных шагов.)

Распространенная ошибка при проектировании автоматизированных систем реакции на атаку состоит в том, что такие системы часто делают именно то, на что рассчитывает злоумышленник. К примеру, рассмотрим политику защиты, при которой система выявления атак отфильтровывает адрес отправителя, с которого, по имеющейся информации, производится сканирование портов хостов в вашей сети. В действительности, злоумышленник достаточно просто может выдать себя за другой хост (подделав IP-адрес), что, в конечном итоге, приведет к фильтрации пакетов ни в чем не повинного хоста (возможно, одного из ваших партнеров по бизнесу или, хуже того, потенциального заказчика). В этом случае злоумышленник, по сути, использует вашу автоматизированную систему противодействия для проведения атаки по типу "отказ в обслуживании" и против вашей сети, и против хоста, за который он себя выдает.

Вместо того чтобы отказывать в доступе подозреваемому в организации атаки, часто оказывается полезнее попытаться получить как можно больше информации о хосте, с которого производится атака. Для этого можно попытаться отследить маршрут до хоста организатора атаки, провести обратный поиск DNS по IP-адресу злоумышленника, постараться выяснить тип хоста (определить тип ОС) и установить провайдера Internet инициатора вторжения.

Собранная информация позволит принять более взвешенное решение о том, что следует сделать: отказать в доступе по всему периметру, предупредить администратора или просто зарегистрировать событие как подозрительное. Не забудьте записать всю собранную информацию, предпочтительно через Syslog, на удаленный хост, где эти данные можно сохранить на вторичной системе хранения.

Целостность журналов (и других критически важных системных файлов) может быть гарантирована с помощью инструментальных средств обеспечения целостности системных файлов. Этот инструментарий периодически вычисляет контрольные суммы для данных, находящихся в журналах регистрации, хранимых в безопасном месте. Контрольные суммы затем регулярно пересчитываются и сравниваются с оригиналом, гарантируя таким образом неповрежденность журнальных файлов.

Кроме того, ваша политика защиты должна предусматривать периодический анализ журналов для выявления подозрительной активности. Анализ файлов регистрации и синтаксический разбор в реальном времени позволяют проводить целый ряд соответствующих инструментальных средств (как коммерческих, так и свободно распространяемых). Они способны оказать серьезную помощь администратору систем защиты в решении этой рутинной задачи.

Разделяй и властвуй: маскировка и вставка
При реализации технологии выявления атак администраторы систем защиты должны помнить о двух основных ее недостатках.

Первую потенциальную проблему обычно называют маскировкой (evasion). Сетевые детекторы используют стандартные или определенные пользователями сигнатуры, которые они пытаются обнаружить в передаваемых по сети пакетах. Однако опытный злоумышленник может замаскировать сигнатуру своей атаки, разбив один TCP-пакет на несколько IP-пакетов. Чтобы не попасться на эту удочку, убедитесь, что детектор атак в состоянии собирать фрагменты пакетов для анализа сигнатур в реальном времени.

Вторая проблема называется вставка (insertion), поскольку она состоит в добавлении злоумышленником ложных пакетов в TCP-диалог, имея в виду тот факт, что, несмотря на то что конечный хост просто отвергнет лишний пакет, детектор атак попытается его проанализировать. Если конечный хост проверяет порядковый номер TCP, дабы убедиться, что пакеты транспортного уровня прибывают в правильном порядке, то детектор вторжений, как правило, эту последовательность не отслеживает и примет фальшивые пакеты, такие, как запрос на прерывание соединения, за реальные. При получении фальшивого запроса на закрытие (типа TCP FIN), детектор будет игнорировать все остальные пакеты в данном потоке, поскольку он будет уверен в том, что конечный хост тоже их игнорирует. (Он считает, что соединение уже было закрыто.)

Трудная дорога вперед
Проявляющиеся сейчас в области межсетевых взаимодействий тенденции потребуют, скорее всего, серьезного пересмотра механизма современных систем выявления атак. Технологии виртуальных частных сетей предусматривают инкапсуляцию пакетов внутрь других пакетов, а технология шифрования делает практически невозможным проникновение в содержимое этих пакетов и проверку сигнатуры атаки.

Кроме того, сетевые шлюзы все чаще и чаще рассчитаны на коммутацию пакетов более высоких уровней со скоростью их поступления и принимают решения о направлении пакетов на основе лишь определенных фрагментов в заголовке пакета. Выявление атак станет, скорее всего, серьезным препятствием на пути повышения скорости коммутаторов до многогигабитных величин. Производители признают, что они больше не в состоянии предлагать порт для перехвата всех пакетов без значительного снижения производительности коммутирующего оборудования. Одно из возможных решений этой проблемы состоит в реализации распределенных систем выявления атак с несколькими коллекторами, с единой высокопроизводительной базой данных, сервер которой имеет достаточную производительность для консолидации всей информации практически в реальном времени. С другой стороны, производители сетевого оборудования могли бы встраивать некоторый небольшой по размеру (и, хотелось бы надеяться, стандартный) код выявления атак в архитектуру своих коммутаторов.

Развертывание эффективных систем выявления атак представляет собой сложную задачу, но она кажется тривиальной по сравнению с тем временем и усилиями, которые вам придется потратить на то, чтобы обеспечить ту отдачу, на которую рассчитывала ваша компания, в том числе на предпродажные исследования и постоянные модернизации сигнатур атак. Администратору систем защиты не стоит ждать легкой жизни, но он, безусловно, будет спокойнее спать по ночам, зная, что в вечно бодрствующем мире Internet корпоративная сеть имеет стража, который тоже не дремлет.

План действий по выявлению атак
1. Убедитесь, что каждый сетевой сегмент контролируется одним (или несколькими) детекторами атак на сеть, установив детектор в самом сегменте или в устройстве на границе сегмента так, чтобы он мог проверять все пакеты в подсети.
2. Составьте список всех серверов, критически важных для вашего предприятия. Установите механизм выявления атак на хост на каждом из них.
3. На каждом критически важном сервере укажите все критически важные сетевые приложения и установите системы выявления атак для каждого из них.
4. Получите актуальный список сигнатур атак от всех своих производителей и установите его должным образом. Используйте инструментарий управления конфигурацией для отслеживания информации из файла с сигнатурами во всех системах.
5. В соответствии с составленным списком заслуживающих и не заслуживающих доверия объектов разработайте правила для своих систем выявления атак на хосты и приложения таким образом, чтобы все попытки несанкционированного доступа можно было выявить и должным образом на них отреагировать.
6. Дополните разработанную политику заранее составленным списком контроля доступа (Access Control List, ACL). Убедитесь, что ваши правила выявления аномалий отражают гистограммы сетевой нагрузки, составленные для каждого сетевого сегмента.
7. Укрепите и защитите все детекторы вторжений.
8. Установите правила ротации журналов, копии которых всегда должны быть записаны на удаленных сменных носителях.
9. Введите правила мониторинга этих систем. Используйте агентов SNMP и генерируемые устройствами прерывания SNMP, когда это возможно.
10. Регулярно анализируйте все ваши правила и файлы с признаками атак.

Рамон Дж. Онтаньон, (опубликовано в журнале Сетевых решений "LAN" 10/2000).

Карманные персональные компьютеры или КПК изначально не предназначались для хранения важной или конфиденциальной информации и разрабатывались, главным образом для личных нужд. По заявлению Пайтера Затко (Peiter Zatko), главного научного сотрудника и вице-президента компании @stake Inc., занимающейся вопросами безопасности, КПК не создавались как защищенные компьютеры, и они представляют собой нестабильную среду для разработки приложений.

Тем не менее, сегодня КПК используются, в основном, именно для бизнеса, что делает их использование далеко не безопасным. Данные, хранящиеся в таких "карманных" компьютерах, легко могут быть использованы, в основном, за счет кражи пароля, а сами компьютеры могут начать разносить вирусы при подключении к Сети. Сейчас КПК все больше и больше используются корпорациями и правительственными структурами для хранения различной конфиденциальной информации. Сейчас количество пользователей ОС Palm во всем мире составляет примерно 10 млн. человек, и угроза безопасности информации, хранимой в КПК будет расти по мере роста числа мобильных устройств, подключаемых к интернету беспроводным образом, признает пресс-секретарь Palm Джулия Родригез (Julia Rodriguez).
(источник - http://www.cnews.ru/, опубликовано 17.08.2001)

Пользователи, проводящие в Интернете пару часов в день, имеют все шансы подвергнуться атаке хакеров - таков один из выводов исследования компании Symantec, занимающейся вопросами компьютерной безопасности.

В исследовании компании, проводившемся в течении месяца, приняли участие 167 человек, на компьютерах которых были установлены защитные firewall, а специальная программа отслеживала все попытки проникновения в компьютер. При установке firewall выяснилось, что часть компьютеров уже была заражена "троянцами", которых можно использовать для удаленной сетевой атаки или получения конфиденциальной информации с компьютера пользователя.

Все участники исследования являлись либо домашними пользователями, либо маленькими компаниями, использующими как dial-up, так и высокоскоростные соединения.

За месяц было совершено 1703 попытки хакерских атак, а внимание хакеров привлекли 159 из 167 участников (95%). В среднем, хакеры предпринимали 56 попыток атак в день, а наиболее излюбленным методом проникновения в чужие компьютеры оказался "троян" Backdoor.SubSeven - в 68% случаях хакеры пытались установить на чужие компьютеры именно эту программу.
(источник - http://news.battery.ru/, опубликовано 15.08.2001)

На этой неделе пользователи MSN Messenger стали обращать внимание на иконки с подмигивающей физиономией, настырно появлявшиеся в сообщениях от хорошо знакомых собеседников, прежде не склонных к выражениям эмоций. Вслед за этим на экране появлялось сообщение от ника george.w.bush@whitehouse.gov с предложением скачать файл "choke.exe". Это уже явно было похоже на поведение вирусов, распространяющихся по электронной почте.

Вирус Choke, впервые обнаруженный в конце июня, стал уже второй атакой на интернет-пейджер MSN Messenger после того, как в мае на него "напал" червь W32/Hello. Эксперт по безопасности говорят, что им пока неизвестны случаи появления вирусов в AOL Instant Messenger (AIM), ICQ или Yahoo Messenger.

Хотя авторы вирусов в попытках нанести максимальный ущерб и обращаются к разным типам сетей и протоколов обмена, ничего более эффективного для их распространения, чем E-mail, пока не нашлось. Активированный вирус рассылает себя по всем адресам из адресной книги, что приводит к экспоненциальному росту числа зараженных компьютеров.

Черви в интернет-пейджерах до сих пор оставались достаточно безобидными по сравнению с вызвавшими настоящие глобальные эпидемии вирусами "I Love You", Анна Курникова и Мелисса. Однако некоторые специалисты в области компьютерной безопасности считают, что взрыв аналогичной эпидемии в программах обмена короткими сообщениями всего лишь дело времени. Тот факт, что интернет-пейджерами пользуются миллионы, лишь усугубит возможные последствия. К тому же в отличие от E-mail для протоколов AIM и ICQ пока не разработано антивирусных программ.

Для защиты от Choke Microsoft рекомендует просто воздержаться от открытия полученных файлов, поскольку вирус может активизироваться только после запуска exe-файла, или проверять их свежей версией антивируса. На сайте MSN Messenger появилось соответствующее предупреждение.
(источник - http://news.battery.ru/, опубликовано 15.08.2001)

Найдена уязвимость в PHP которая позволяет атаковать удалённый сервер. На сайте разработчиков представлен демо скрипт позволяющий просматривать каталоги и файлы находящиеся на сервере. При небольшом модефицировании скрипта злоумышленник может удалять, редактировать, копировать файлы и каталоги с удалённого сервера. Статью об уязвимости можно прочитать по адресу http://field.h1.ru статья представлена для того, что бы показать разработчикам и системным администратором на возможность проведения данной атаки, выложен исходный текст скрипта. О возможном практическом осмыслении статьи пользователями интернета авторы сайта и разработчики ответственности не несут!
(источник - Coroner (Protect Field), опубликовано 15.08.2001)

Около двух с половиной тысяч человек со всего мира собрались в эти выходные на хакерскую конференцию Hackers At Large, проходящую в голландском университете Twente в городке Эншеде.

Это уже четвертая из проходящих каждые четыре года конференций. Первая Hackers At Large состоялась в 1989 году.

Организаторы конференции, по утверждению Wired News, очень расстроены тем фактом, что слова "хакер" и "преступник" стали за последние годы почти синонимами. Из-за эпидемий знаменитых вирусов (таких, как CodeRed или ILoveYou) у обывателя выработалась устойчивая аллергия на слово "хакер", сопровождающаяся приступами тотальной паранойи. Между тем, заявляют организаторы, основной задачей конференции является обсуждение специфических проблем, связанных с эксплуатацией компьютеров и компьютерных сетей, и в том числе - проблем компьютерной безопасности и соответствующих мер по ее поддержанию.

Тем не менее, как сообщает Ananova, голландская полиция предприняла дополнительные меры безопасности. В частности, полиция пообещала, что любые случаи антиобщественного поведения будут немедленно наказываться заключением под стражу.

При прохождении регистрации каждый участник мог прочесть следующее сообщение службы безопасности: "Не делайте ничего сомнительного, поскольку служба внутренней безопасности следит за вами. Если вас застукают, вы отправитесь за решетку".

Такое отношение полиции и служб безопасности к участникам конференции вызывает у организаторов некоторое удивление. По их словам, большинство участников прибыло на конференцию с исключительно честными намерениями.

Сами организаторы при этом внимательно следят за входящей и исходящей информацией для того, чтобы ни одно из поступающих сообщений не могло навлечь на конференцию каких-либо подозрений.

Напомним, что одним из пунктов обвинения, выдвинутого против российкого программиста Дмитрия Склярова, был доклад о программе Advanced eBook Processor, сделанный Скляровым на хакерской конференции DefCon.
(источник - http://www.netoscope.ru/, опубликовано 14.08.2001)

В прошедшую пятницу пресс-секретарь министерства информации и коммуникаций этой страны объявил об определенном ущербе, причиненном правительственным серверам и сайтам новой версией вируса. Отличительной особенностью Code Red III по сравнению с предыдущими вариантами - более высокая скорость распространения. И также как во второй версии, вирус "открывает" инфицированные сайты для различных онлайновых мошенников и хакеров.

Интересно, что на момент проявления данного вируса ни одна из антивирусных лабораторий еще не успела опубликовать предупреждение об опасности, в результате чего и пострадали корейские сервера. Однако большинство интернет-компаний сочли это лишь вопросом времени. В любом случае, если предположить, что создатели вируса будут работать в том же темпе, то уже в скором времени нам следует ожидать появления Code Red IV и Code Red V.
(источник - http://www.cnews.ru/, опубликовано 13.08.2001)

Как заявил в четверг пресс-секретарь корпорации, некоторые из ее серверов, в число которых входит и почтовая служба Hotmail, пали жертвами Code Red. Однако, как утверждалось в заявлении, при этом базы данных не понесли каких-либо значительных повреждений.

Как известно, вирус опасен для серверов, которые используют в качестве ПО - IIS (Internet Information Server) от Microsoft. А новая версия Code Red помимо разрушений к тому же делает системы доступными для хакеров. Ввиду сложившейся ситуации в среду Microsoft представил новый программный продукт, способный, по мнению разработчиков, "вылечить" зараженные данным вирусом компьютеры.
(источник - http://www.netoscope.ru/, опубликовано 10.08.2001)

[Jul24 - Aug14] Security Info digest #36(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

В telnet демоне, поставляемом вместе с дистрибутивом MIT Kerberos 5 обнаружено удаленное переполнение буфера, позволяющее злоумышленнику может удаленно получить полномочия пользователя root.
Переполнение буфера было впервые обнаружено в telnetd демоне, разработанном на основе исходного кода, взятого из BSD, а по-скольку MITовский krb5 telnetd его использует - он тоже оказался уязвимым.
Патч доступен с оффициального сайта:
http://web.mit.edu/kerberos/www/advisories/telnetd_122_patch.txt
PGP доступна с:
http://web.mit.edu/kerberos/www/advisories/telnetd_122_patch.txt.asc
Подробнее:
http://www.securityfocus.com/archive/1/200754

В утилите /usr/bin/locate под Slackware Linux версий 8.0 и 7.1 обнаружено локальное переполнение буфера, позволяющее лоумышленнику
может получить полномочия пользователя nobody и далее при помощи разнообразных троянов полномочия root.
Переполнение происходит из-за неправильной обработки переменной окружения $LOCATEDB_OLD_ESCAPE.
Подробнее:
http://www.securityfocus.com/archive/1/200991

В утилите dbsnmp в Oracle версии 8.1.5 обнаружена уязвимость, позволяющая при наличии локального доступа к системе получить полномочия пользователя root.
По умолчанию dbsnmp имеет SUID root. Когда пользователь запускает dbsnmp, осуществляется вызов chown и chgrp без указания пути, так что любой пользователь может сам определить переменную PATH и получить доступ к root.
Следует так же отметить, что Oracle версии 8.1.6 не содержит уязвимость, а тестирование производилось под Digital Unix.
Подробнее:
http://www.securityfocus.com/archive/1/201020

В утилите otrcrep из дистрибутива Oracle версии 8.0.5 обнаружена локальная уязвимость, позволяющая злоумышленнику получить euid=oracle egid=dba уровни доступа к базе данных.
Подробнее:
http://www.securityfocus.com/archive/1/201295

За последние дни мы довольно много слышали про Code Red II, а так же иные его "клоны". Что же он из себя представляет и кто уязвим?
Уязвимыми стали пользователи известной всем OS Windows 2000, NT4.0 т.д. с установленными на них IIS 4 и IIS 5.
Вирус пытается получить доступ на удаленный сервер через баг в конфигурации cmd.exe или root.exe и т.п.
Так же, если троян explorer.exe запущен, злоумышленник получает возможность удаленного доступа на взломанные системы.
О более подробном анализе Code Red можно почитать:
- http://www.securityfocus.com/archive/1/201885
- http://www.securityfocus.com/archive/1/201886

Подписано партнерское соглашение между ярославской компанией ИНКАП и компанией Инфотекс.

Подписание соглашения состоялось в рамках программы построения региональной партнерской сети по продвижению технологии ViPNet на рынке защиты информации.

ИНКАП - крупнейшая в северном регионе России компания, специализирующаяся на создании эффективных бизнес-решений на основе Интернет - технологий. Миссия компании ИНКАП - открывать клиенту новые перспективы, совершенствуя его бизнес.
Компания ИНКАП предлагает своим клиентам целый ряд услуг, таких как: web - разработка, управление отношениями с клиентами (CRM), управление ресурсами предприятия (ERP), оказание сетевой поддержки.

Подписав соглашение с Инфотекс компания ИНКАП получает возможность предлагать продукты ViPNet своим клиентам, обеспечивая повышение эффективности их бизнеса за счет внедрения защищенного документооборота, экономии средств на использовании каналов связи, исключения потерь от хищения и порчи информационных и технических ресурсов корпораций.
Специалисты компании ИНКАП успешно прошли курс обучения в компании Инфотекс.

Для Инфотекса подписание партнерского соглашения с ИНКАП означает еще один шаг по продвижению своего решения на рынок через авторизованного партнера, способного квалифицированно продвигать и сопровождать корпоративные сетевые решения с торговой маркой ViPNet.

По всем вопросам приобретения продуктов ViPNet можно обращаться в офис компании ИНКАП по телефону (0852) 72-60-60.

О компании ИНКАП:
Компания ИНКАП предлагает полный комплекс услуг по созданию эффективных бизнес-решений на основе интернет-технологий. Решения компании направлены на оптимизацию деловых процессов предприятия и реализуются в рамках четырех бизнес-направлений.

Web-разработка:
- стратегический интернет-консалтинг,
- разработка и реконструкция интернет-ресурсов, поддержка интернет-ресурсов.
Управление отношениями с клиентами (CRM):
- разработка клиенториентированной идеологии развития бизнеса,
- оптимизация бизнес-процессов в соответствии с CRM-стратегией,
- автоматизация процессов взаимоотношения с клиентами.
Управление ресурсами предприятия (ERP):
- разработка и внедрение интегрированных систем управления ресурсами предприятия на основе передовых продуктов и технологий.
Сетевая поддержка:
- разработка современных решений для распределенных корпоративных сетей, а также для подключения этих сетей к Интернету.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.