Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

Предприятия и провайдеры Internet не могут допустить, чтобы их защита оказалась слабее все более мощных инструментальных средств, которые хакеры применяют с целью воспрепятствовать пользователям в получении доступа к важной информации, размещаемой в сети.

В сегодняшнем выпуске рассылки представляем статью Джима Карра "Борьба против DoS: вести с фронта".

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• Приглашаем посетить стенд компании Инфотекс на российской выставке информационных технологий SOFTOOL'2002

Введение
Cобытия 11 сентября 2001 г. имели одно положительное следствие — количество атак по типу "отказ в обслуживании" (DoS) против сетей и сайтов Web несколько сократилось. Это касается не только получивших мировую огласку атак DoS, обрушившихся на eBay, Yahoo! и Amazon в феврале 2000 г., но и "уличных хулиганов".

По словам Алана Паллера, директора по исследованиям SANS Institute, где организуются курсы обучения сетевой защите для администраторов, многие так называемые хакеры в сложившейся ситуации уже не одобряют нападения на другие сайты, поэтому общее количество атак DoS практически перестало расти. Данные Computer Security Institute и ФБР подтверждают эту тенденцию; в частности, они показывают, что количество атак по типу "отказ в обслуживании" на сайты Internet в 2001 г., по сравнению с 2000 г., увеличилось весьма незначительно.

В ежегодном опросе "Исследование по вопросам компьютерных преступлений и защиты" (Computer Crime and Security Survey), проведенном совместно CSI и ФБР, отчет о котором был выпущен весной 2002 г., 40% из 503 респондентов, работающих в корпорациях, государственных агентствах и университетах, сообщили, что их организации в 2002 г. пострадали от атак DoS. Это не намного больше 38% респондентов, переживших подобные атаки в 2001 г. Однако в 2000 г. об атаках DoS заявили всего 27% опрошенных.

Неприятный момент заключается в том, что стабилизация, скорее всего, продлится недолго, и ситуация, по-видимому, в ближайшее время обострится. Эрик Хеммендингер, директор по исследованиям группы информационной безопасности Aberdeen Group, считает, что "положение дел скорее ухудшится, нежели улучшится, и станет как никогда угрожающим".

В 2001 г. атаки DoS и Distributed DoS (DDoS) особенно тяжело отразились на работе Internet-компаний. В опросе CSI об атаках DDoS сообщили около 55% респондентов — владельцев сайтов электронной коммерции — одного из самых соблазнительных объектов для нападения (CSI принадлежит компании CMP Media LLC, которая издает Network Magazine). В другом исследовании, проводимом в течение трех недель в середине 2001 г., ученым университета шт. Калифорния (Сан-Диего) удалось выявить примерно 12 800 атак DoS, которым подверглись более 5000 организаций.

Что делать предприятию, когда на его вычислительные ресурсы направлена атака "отказ в обслуживании"? В данной статье приводятся примеры некоторых стратегических и тактических решений, реализация которых позволяет предотвратить атаки DoS или, по крайней мере, смягчить наносимый ими вред, а также рассказывается о новых продуктах, выпущенных недавно созданными производителями с целью предупредить такие злонамеренные действия.

Серьезный риск DDoS
Результаты, полученные специалистами CSI и университета шт. Калифорния (Сан-Диего), не удивили Чада Робинсона, ведущего аналитика компании Robert Francis Group. Он считает, что атаки DDoS представляют собой одну из самых серьезных опасностей, с которыми сталкиваются их клиенты — корпорации и провайдеры услуг.

Таким образом, он подтвердил уникальность атак DoS в том смысле, что специалисты по защите не могут просто отклонить трафик, направленный на их сайты. Подобная тактика, очевидно, блокирует соединения легитимных пользователей. Что касается сайтов электронной коммерции, то даже непродолжительное прерывание их работы вследствие атак DDoS грозит недополученной прибылью внушительных размеров.

Сайты электронной коммерции и информационные сайты Web — не единственные объекты для подобных атак. Робинсон и другие аналитики отмечают, что они способны угрожать любой службе на базе IP, в том числе все более популярным виртуальным частным сетям и службам Web. Хакеры инициируют атаки DoS, устанавливая на компьютеры, которые они выбрали своей целью, так называемый "зомбированный" код, для чего используют широко известные бесплатно распространяемые инструментальные средства, например Trinoo и Stacheldraht. Зомбированный код позволяет хакерам с помощью компьютеров бомбардировать сайт-жертву множеством пакетов данных, расходуя пропускную способность Internet этого сайта и загружая серверы так, что они не могут обрабатывать легитимный трафик.

Именно таким образом юный канадский хакер, известный под псевдонимом Mafiaboy, в одиночку организовал нашумевшие атаки DDoS на Yahoo!, Schwab, Amazon.com, eTrade, CNN.com и другие сайты Web в феврале 2000 г. Для подобных компаний любое длительное прерывание работы означает потерю миллионов долларов прибыли.

Эксперты по DDoS
Возможно, лучше других осознает угрозу Дейв Диттрих, ведущий инженер-исследователь Вашингтонского университета. Диттрих, признанный специалист по DDoS, стал первым ученым, кто выступил с предупреждениями о потенциальной опасности DDoS; он хорошо изучил проблему и инструментальные средства, предназначенные для борьбы с такими атаками.

Web-страница Диттриха содержит обширный список ссылок и информацию о DDoS в Internet, в том числе детальный анализ большого количества инструментальных средств для организации атак по типу "отказ в обслуживании", в том числе Trinoo и Stacheldraht, а также некоторые бесплатные средства защиты: в частности, Remote Intrusion Detector (RID) и Zombie Zapper компании BindView, применяемые для противостояния DDoS.

Будучи супервизором сети университета, Диттрих не понаслышке знает об атаках DDoS, поскольку ему приходилось испытывать их на себе и как обычному пользователю, и как сетевому администратору. Ему слишком хорошо известно, что тысячи студенческих ПК в его сети неуправляемы, неконтролируемы, и контролировать их невозможно, в силу чего они остаются беззащитными перед атаками со стороны.

Он вспоминает, как еще в середине 1999 г. получил сообщения от других компаний, где утверждалось, что компьютеры Вашингтонского университета стали источником пакетов данных, заполонивших их сайты. Фактически, как было впоследствии обнаружено, в Вашингтонском университете атакующая программа Trinoo инфицировала 28 его систем с Sun Solaris, а в Европе с помощью этих систем группа хакеров организовала атаку на серверы Internet Relay Chat (IRC) другой группы.

Такие нападения, когда объединившиеся хакеры обрушиваются на ресурсы IRC другого сообщества, пожалуй, самые распространенные атаки DDoS. "Очень немногие атаки DDoS инициируются по экономическим или политическим мотивам", — заметил Диттрих.

Это не означает, что компании, предприятия электронной коммерции или провайдеры Internet должны легкомысленно относиться к DDoS. "Многие совершенствуют подобные инструментальные средства, так что их применение приводит к серьезным последствиям, причем выполняемые на регулярной основе атаки используют огромную пропускную способность — достаточную для отключения небольших предприятий или провайдеров Internet", — подчеркнул Диттрих.

Он считает, что так называемые "личинки" IRC DDoS становятся все совершеннее. При организации атак для проникновения на незащищенный компьютер достаточно небольшой "личинки" (bot), или фрагмента кода, а затем данный компьютер инфицируется с помощью более совершенных программ. Они пересылают трафик в рамках атаки DDoS, который передается от IRC к IRC, существенно осложняя работу по отслеживанию компьютеров, задействованных в нападении. Они могут также самостоятельно обновляться с появлением новых инструментальных средств.

Разработчики такого рода программы могут направить свое оружие на любую цель, в том числе и на сайты электронной коммерции. "Я не хочу сгущать краски, но реальность такова, что подобные инструментальные средства годятся для атаки на что угодно", — подчеркнул Диттрих.

Помимо ранее упомянутой атаки Mafiaboy, многие инциденты, связанные с DoS, касались коммерческих или политических организаций. Диттрих отметил, что Пакистан и Индия используют DDoS против друг друга; в то же время так называемые "Электрохиппи" (ElectroHippies), свободная организация сетевых бунтовщиков организовала атаку DDoS, которая в январе 2002 г. временно вывела из строя сайт Web Всемирного экономического форума.

Еще более ужасными оказались последствия подобной атаки для британского провайдера Internet CloudNine Communications, результатом которых стало закрытие компании. CloudNine вынуждена была продать свой бизнес и передать конкуренту 2500 пользователей после атаки DDoS, из-за которой клиенты не смогли попасть в Internet, а размещенные в ее сети сайты Web оказались отключенными.

От атак DDoS пострадали также британский портал итальянского провайдера Internet — компании Tiscali, чья работа была прервана на несколько дней, а британский провайдер Internet Donhost прекратил обслуживание на несколько часов. Кроме того, отчеты новостных агентств свидетельствуют, что Goldman Sachs и Investcorp тоже стали жертвами атак DDoS, которые тем не менее не отключали свои сайты.

Обратитесь к CERT
Отвечая на вопрос, как защититься от DDoS, Диттрих сослался на отчет, выпущенный после семинара Distributed-Systems Intrusion Tools Workshop, проведенного в ноябре 1999 г. координационным центром CERT Coordination Center университета Карнеги-Меллона. В его подготовке приняли участие несколько специалистов CERT, сам Диттрих, группа SHADOW из центра Naval Surface Warfare Center и руководители нескольких компаний, специализирующихся на защите и инфраструктуре Internet.

В отчете излагаются базовые принципы защиты от DDoS для некоторых классов пользователей Internet, в том числе провайдеров Internet, системных администраторов и специалистов из так называемых групп немедленного реагирования (Incident Response Team, IRT). Изложенные в нем рекомендации охватывают широкий круг решений, от общих (для менеджеров) до специализированных (для провайдеров, системных администраторов и IRT).

Например, "менеджеры должны обладать полной информацией о природе атак и их возможных последствиях. Высшему руководству компании необходимо получать краткие отчеты непосредственно от специалистов по защите с целью достижения требуемого уровня взаимопонимания". На производителей предлагается оказывать давление с тем, чтобы они "организовали более надежную защиту для своих служб и конфигураций по умолчанию".

Согласно отчету, еще важнее, чтобы корпоративные менеджеры установили ответственность за реализацию минимально допустимой защиты в соответствии с принятой политикой безопасности, отключая неконтролируемые соединения Internet пользователей, в том числе и руководителей, чьи бюджеты могут оказаться скомпрометированы или подвергаются риску стать объектом атаки DDoS.

Отчет CERT дает особые рекомендации для системных администраторов. Он предлагает способы защиты, выявления и реагирования, указывая меры, которые следует предпринять немедленно (в течение 30 дней), в короткие сроки (от 30 до 180 дней) и на протяжении достаточно продолжительного времени (полгода и больше).

К непосредственным действиям по организации защиты относятся применение на границе сети правил противодействия фальсификации соединений для того, чтобы сделать сайт Web менее соблазнительной целью для хакеров, а также установка заплаток для программного обеспечения и анализ правил защиты на границах сети с тем, чтобы гарантировать корректное отсечение входящих пакетов. Кроме того, необходимо сразу же создать одобренный руководством детальный план для взаимодействия с IRT, провайдерами Internet и правоохранительными органами.

К краткосрочным мерам относятся создание эталонных систем с помощью инструментальных средств шифрования с проверкой контрольных сумм и периодическое сканирование систем в поисках хорошо известных изъянов. Отчет предлагает предприятиям "оценить и, по возможности, развернуть систему обнаружения вторжений". Кроме того, системным администраторам рекомендуется совместно со своими провайдерами Internet утвердить соглашение об уровне обслуживания (Service Level Agreement, SLA), где бы указывалась ответственность провайдера за контроль и блокирование трафика, передаваемого в рамках атак DoS и DDoS.

В дальнейшем (долговременные меры) следует назначить ответственного системного администратора за каждую систему и определить, кто обладает правом, ведет обучение и предоставляет ресурсы для защиты системы от атак DDoS. И опять-таки, в отчете предполагается, что системные администраторы должны работать со своими провайдерами Internet над включением усовершенствованных требований к защите и возможностей в рамках SLA. В отчете CERT также говорится о срочных, краткосрочных и долгосрочных сценариях выявления атак DDoS и ответных мерах со стороны провайдеров Internet и IRТ.

Что касается провайдеров Internet, то диапазон этих сценариев необыкновенно широк, от очевидных до трудно выполнимых. Отчет призывает внедрить кризисные правила и процедуры и довести их до сведения сотрудников и пользователей. К более детальным рекомендациям относится создание сетевой инфраструктуры, которая позволяет выявлять атаки как можно ближе к их источнику. Для IRT предлагается создать кризисный план и определить оперативные, краткосрочные и долгосрочные цели по борьбе с распределенными атаками. В отчете также подчеркивается необходимость выработки критериев для выявления атак на распределенные системы.

Окончание статьи, в котором автор рассматривает различные инструментальные средства обнаружения и защиты от атак DDoS и методики отражения атак DDoS нового типа, читайте в следующем выпуске рассылки.

Джим Карр - независимый журналист, специализирующийся на вопросах бизнеса и технологий. С ним можно связаться по адресу: jecarr13@charter.net. (опубликовано в журнале "LAN" №7-8/2002).

Первая уязвимость связана с классами, при помощи которых Java-приложения работают с базами данных (Java Database Connectivity, JDBC). Она позволяет загружать на компьютер пользователя и выполнять там любую DLL. Подвергнуться атаке пользователь может, открыв e-mail в формате HTML или зайдя на страничку, где размещены специальные Java-апплеты.

Вторая дыра также связана с классами JDBC, но по своим последствиям менее опасна - она может привести лишь к зависанию IE.

Третья уязвимость связана с использованием Java-программами языка XML. С ее помощью Java-апплет, запущенный с сайта, может выполнять в системе практически любые действия.

Все три уязвимости ограничены пользовательскими правами работы в системе. Поэтому в корпоративных сетях, где пользовательские права по умолчанию ограничены, они представляют меньшую опасность.

Подробнее узнать об узвимостях и скачать необходимые патчи можно на сайте Microsoft в бюллетене № MS02-052.
(источник - http://www.compulenta.ru/, опубликовано 20.09.2002)

Эту информацию официально подтвердили в центре общественных связей (ЦОС) ФСБ России. Причем список пострадавших банков не разглашается, и пока неизвестно, получили ли боевики доступ к их счетам.

По оценке специалистов ФСБ, сам факт хакерской атаки, план которой разрабатывали высококлассные программисты, свидетельствует прежде всего о том, что террористы уже не ограничиваются примитивными военными действиями, а начинают использовать для своих целей высокие технологии.

Эксперт управления компьютерной и информационной безопасности Владимир Непомнящий рассказывает подробности этой атаки хакеров Хаттаба. "От имени одного из крупнейших ирландских банков были разосланы электронные письма с коммерческими предложения. Лексически послания были составлены очень грамотно, с учетом принятых в банковской среде норм", - отмечает Непомнящий.

Однако, рассказал он, к письму в виде исполняемого вложения прилагалась тщательно запрятанная программа удаленного администрирования, позволяющая отправителю письма получить неограниченный допуск к компьютерным сетям получателя. "Специалисты ФСБ установили, что неизвестный хакер, работавший на Хаттаба, сумел разработать сложнейшую трехслойную псевдополиморфную оболочку, маскировавшую эту программу", - пояснили в ЦОС ФСБ.

Эта программа из семейства "троянских коней" давно известна специалистам в области информбезопасности, но способ ее маскировки был признан уникальным. "Анализ атаки на банки позволяет утверждать: автор кода был программистом высочайшего класса", - подчеркнули собеседники агентства. Данные о хакерской атаке бандгруппы Хаттаба, как и образцы электронного послания, поступили в ФСБ по оперативным каналам. Эксперты установили, что после прочтения такого письма одним из пользователей вся компьютерная сеть организации может стать открытой для любого виртуального террориста. "Хакеры получают право удаленного администрирования, то есть, блокирования, модификации, копирования и уничтожения служебной информации банка, доступ к счетам, конфиденциальным данным о клиентах и возможность сознательно нарушать работу банковских сетей", - заявили в ФСБ. Подобные действия квалифицируются как покушение на акт кибертерроризма.

Предупреждения о "письмах Хаттаба" были направлены ФСБ в правоохранительные органы тех стран, где находились атакованные банки. Полученная благодарность от одной из зарубежных спецслужб позволяет утверждать: "письма Хаттаба" действительно представляли серьезную угрозу, констатировали в ЦОС.
(источник - http://www.NTVru.com/, опубликовано 19.09.2002)

Оказывается, есть в Outlook Express одна функция, которой можно воспользоваться, чтобы обойти и антивирусы, и многие SMTP-фильтры. Функция называется MFR (message fragmentation and re-assembly - фрагментация и последующая сборка сообщения). Она бывает полезна при медленных соединениях с Интернет. Она позволяет разбивать исходящие большие сообщения на несколько частей и отправлять каждую такую часть отдельным письмом. Получатель этих писем, если у него тоже стоит почтовая программа Outlook Express, без труда соберет из них исходное сообщение. Кстати, функция сборки включена по умолчанию, а функцию фрагментации пользователю приходится включать вручную, используя для этого выпадающее меню.

Оказывается этой полезной, в общем-то, функцией может воспользоваться распространитель вирусов. Если письмо с вирусом разбить на части и отправить его в таком фрагментированном виде, то антивирусная программа, установленная у получателя, может не распознать "подпись" данного вируса в этих фрагментах, даже если в обычной ситуации она моментально его поймает.

Пользователь, получив такое составное письмо, соберет его с помощью функции MFR и получит вирус, несмотря на имеющуюся антивирусную защиту. При таком способе распространения не нужно создавать новых вирусов, можно обойтись и старыми. Правда, не все антивирусные и защитные программы не находят вирусы, порезанные на кусочки. Например, все программные сетевые экраны от Symantec по умолчанию блокируют составные MIME-сообщения. А вот InterScan VirusWall 3.5x for NT от Trend Micro в такой ситуации вирусы пропустит. Вернее, пропускал, так как компания уже выпустила заплату для этой дыры.

В общем, рекомендации, что делать в такой ситуации, и все ссылки на заплатки, выпущенные по этому поводу антивирусными компаниями, можно найти на сайте Beyond Security.
(источник - http://www.rol.ru/, опубликовано 18.09.2002)

Поскольку связка Linux плюс Apache является одним из наиболее популярных способов создания веб-серверов, червь достаточно быстро распространяется по интернету. И хотя далеко не на всех таких серверах задействован пакет OpenSSL, число уязвимых веб-узлов составляет, по меньшей мере, миллион.

Компания F-Secure отслеживает динамику распространения Slapper. Для этого ее специалисты установили отдельный компьютер, который притворяется зараженным и, подсоединяясь к пиринговой сети Slapper, определяет число серверов в ней. Первые данные, полученные в воскресенье вечером, показали, что заражено 5987 серверов. В понедельник эта цифра возросла 13892 машин. Дальнейшая динамика изменения количества узлов в сети Slapper показана на графике, который вместе с другой наиболее свежей информацией можно найти на специально созданной странице F-Secure.

Компания также ведет статистику количества зараженных серверов в различных доменных зонах. Большинство из узлов, зараженных вирусом, имеют цифровые адреса. По данным на 17 сентября их число составляло 4396. Затем следуют зоны .net (2319 пораженных узлов), .com (1720 серверов) и .edu (532 случая заражения). Среди национальных доменов лидирует японский .jp, в нем находятся 519 зараженных компьютеров. В российской зоне .ru насчитывается 83 зараженных компьютера, а в украинской .ua - 26 машин.
(источник - www.compulenta.ru, опубликовано 18.09.2002)

Наиболее уязвим для подобной атаки Word 97, для которого Microsoft уже не выпускает обновлений. В случае Word 2000 или 2002 для того, чтобы опасный код сработал, нужно перед отправкой предварительно распечатать документ.

Использование уязвимости осложняется тем, что для успешного проведения атаки необходимо знать точное расположение файла. Кроме того, если похищаемый файл слишком велик, подозрения может вызвать чрезмерно большой размер отсылаемого документа Word.

С другой стороны, местоположение многих документов, например, электронных писем на большинстве компьютеров одинаково. А размер некоторых важных файлов, таких как конфиденциальная переписка или закрытая документация, может быть сопоставим с размером файла Word. В этом случае обнаружить атаку будет не так-то просто.

В настоящее время Microsoft рассматривает различные способы борьбы с уязвимостью. Пока же всем пользователям рекомендуется включить режим просмотра кодов полей. Для этого в меню "Сервис" нужно выбрать пункт "Параметры", вкладку "Вид" и в разделе "Показывать" пометить галочкой пункт "коды полей".
(источник - www.compulenta.ru, опубликовано 16.09.2002)

Позже информация о массовой краже номеров кредитных карт была подтверждена компанией VeriSign, которая также оказывает услуги по денежным перечислениям с кредитных карт в сети. В VeriSign в происшедшем обвинили компанию Online Data, заявив, что сотрудники этой компании не озаботились выдачей надежных паролей своим клиентам.

В VeriSign сообщили, что большинство сделок киберпреступников были отменены, так что значительная часть денег до мошенников так и не дошла. В ходе планируемого расследования должно выясниться, какая компания виновна в краже номеров кредитных карт. В то же время, многие владельцы кредитных карт, заподозрившие то, что они стали жертвами преступников, обращаются в банки с просьбой прекратить обслуживание их карт.
(источник - www.compulenta.ru, опубликовано 16.09.2002)

Место проведения: Москва, Всероссийский выставочный центр (павильон № 69).
Время проведения: 24 - 28 сентября 2002 года
Учредители выставки: Министерство науки и технологий РФ, Правительство Москвы, Отделение информатики, вычислительной техники и автоматизации РАН, Торгово-промышленная палата РФ.

Постоянные участники выставки - лидеры российского рынка информационных технологий уже серьезно заявили о себе и в стране, и за ее рубежами, как квалифицированные разработчики сложнейших систем в области управления, автоматизации технологических процессов, телекоммуникации, научных исследований, образования, а также широкого спектра прикладного программного обеспечения.

В рамках выставки проходит Всероссийская Конференция "Информационные технологии в России". Конференция включает несколько разделов по ключевым направлениям развития ИТ.

На стенде № H08 наши специалисты продемонстрируют последние достижения компании по защите распределенных информационных корпоративных ресурсов на базе технологии ViPNet и ответят на Ваши вопросы. Здесь можно посмотреть схему расположения стенда H08 компании Инфотекс.

Кроме того, 24 сентября в конференц-зале на 2 этаже с 15.00 по 18.00 в секции "Защита корпоративной сети от внешних и внутренних атак" с докладом "Интернет как среда для безопасных коммуникаций" выступит Гусев Дмитрий Михайлович, директор отдела маркетинга компании Инфотекс.

Ждем Вас на нашем стенде.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.