Maksim Moshkov. Bezopasnost' dlya internet-dachnikov
---------------------------------------------------------------
© Copyright 1999 Maksim Moshkov
Email: moshkow@ipsun.ras.ru
WWW: http://lib.ru/~moshkow/
Date: 28 May 1999
Stat'ya dlya zhurnala "Internet", avgust 1999
---------------------------------------------------------------
Starozhily runeta navernoe pomnyat eshche te vremena, kogda i runeta-to ne
bylo, vebstranichki na russkom ischislyalis' sotnej shtuk, a russkih serverov
bylo to li dvadcat', to li pyat'desyat. Davno li eto bylo? Vsego lish' 5-6 let
nazad.
Poigraem v associacii. Itak - puskaj bol'shaya, nevirtual'naya zhizn' - eto
gorod. Gorod Moskva. S zavodami, institutami i zhitejskimi zabotami. A
Internet - eto dachi. V otpuskah, v svobodnoe ot raboty vremya,
"samozahvatom", ili organizovanno - nachinayushchie dachniki zaselyali okrestnye
servera, polivali svoi ogorodiki i menyalis' drug s drugom sazhencami i
redkimi sortami tyul'panov. Kto-to skolachival iz podruchnyh lesin, natyrennyh
na strojke v sosednej oblasti hibarku, kto-to podgonyal kazennyj firmennyj
gruzovichek i otstraival kirpichnuyu dachku. K starozhilam priezzhali iz goroda
znakomye i rodstvenniki pogostit' i... ostavalis' tozhe, pristraivaya
uchastochki-homyachki po sosedstvu. Tihaya patriarhal'naya zhizn' perebivalas'
regulyarnymi bytovymi ssorami i zamireniyami, nu a milicii v etih krayah
otrodyas' ne bylo. Da i ot kogo tut nuzhny milicionery? Ubijstv, ograblenij i
huliganstva - ne nablyudalos', a kogda sluchalis' redkie bomzhi s kotorymi ne
spravlyalsya mestnyj storozh, iz sosednego sovhoza "Krasnyj Relkom" na
motorollere priezzhali krepkie rebyata-mehanizatory i vyshibali neproshennyh
gostej k chertovoj babushke.
My zhili v te vremena. My rasslabilis' i privykli k spokojnoj bezopasnoj
zhizni, k tomu, chto kalitki na uchastkah otkryty, a doma ne zapirayutsya, okna
raspahnuty, i cvetochki, vysazhennye vdol' zabora, ne vytaptyvaet sosedskij
molodnyak.
I proshlo vsego chetyre goda, i my vdrug obnaruzhili, chto polovina
okrestnyh polej zastroeny krepkimi kirpichnymi kottedzhikami, za nashim zaborom
na 40 hatok raskinulsya dachnyj poselok na 5,000 trehetazhnyh domov, i gorod,
iz kotorogo my bezhali prishel k nam vnov', so vsemi svoimi problemami.
Huliganstvo? Pozhalujsta. Draka v preulke, krazhi so vzlomom? Skol'ko ugodno.
Nastala pora ochnut'sya i osmotret'sya. I privykat' zhit' v novom - uzhe sovsem
ne virtual'nom mire. Russkij internet stal sovsem kak nastoyashchij real'nyj mir
- s zavodami, magazinami i zhitejskimi zabotami.
YA ne sobirayus' rassmatrivat' zdes' problemy zashchity krupnyh kommercheskih
firm. Deneg u nih obychno hvataet na to, chtoby kupit' sebe nadezhnyj i dorogoj
fajrvoll.
Mne interesnee ocenit' nashi s vami problemy - problemy prostyh
pol'zovatelej seti, administratorov veb serverov i melkih provajderov.
Vryad li pri vzlome nashej sistemy my riskuem bol'shimi den'gami. Ne
dumayu, chto na nashem servere hranitsya nevospolnimaya informaciya. Vse proshche i
prozaichnee. Lyuboj vzlom obhoditsya administratoru v bol'shie poteri lichnogo i
rabochego vremeni.
Vzlomannyj server nel'zya ispol'zovat' dal'she. Vylovit' vse vozmozhnye
hakerskie zakladki i troyanskih konej - delo ne legkoe. A samoe glavnoe - ne
100%-e.
Poetomu posle vzloma doroga u nas odna. Polnaya pereinstallyaciya sistemy
s nulya. Ustanovka operacionki, i vsego prikladnogo softa s ditributivov. A
ego, etogo softa - mnogo. I nastrojka ego po mestu - tozhe delo ne
mgnovennoe. Po drugomu - ne poluchitsya, a eto neskol'ko chasov raboty. Inogda
dazhe - neskol'ko dnej.
Itak - poteri ot vzloma dlya obychnogo nekommercheskogo servera - eto
poteryanoe vremya i lishnij gemmoroj. Dlya kommercheskogo - eto nedovol'stvo
klientov, udar po prestizhu, a mozhet byt' dazhe i po karmanu. I - konechno
lishnij gemmoroj - cennye tehnicheskie specialisty vmesto resheniya planovyh
zadach budut tratit' svoe vremya na vosstanovlenie sistemy. Poluchaya za eto
svoyu otnyud' ne malen'kuyu zarplatu.
Perechislyu neskol'ko ustojchivyh zabluzhdenij i mifov, bytuyushchih po povodu
interneta v golovah ryadovyh internet-pol'zovatelej.
Govoryat, chto v internete krome pornuhi nichego ne najti. I tol'ko za
eroticheskimi kartinkami narod po seti i sharitsya.
Govorit' takoj bred mozhet tol'ko tot, kto nikogda ne pytalsya najti
dostojnyj i interesnyj pornoserver. A kto pytalsya - tot uzhe znaet - vse chto
ugodno krome, dazhe cherta lysogo proshche najti, chem server s kartinkami a ne
server, gde u vas budut pokazyvat' tysyachi durackih bannerov i vymogat' nomer
kreditki i kotoroj u vas vse ravno net.
Govoryat, chto s perepiskoj po email nado byt' ostorozhnym, ved'
kto-nibud' mozhet slat' vashemu drugu ot vashego imeni vsyakie gadosti, a ego
otvety perehvatyvat', chtob ne dat' emu proyasnit' situaciyu.
Da, dejstvitel'no, bytovaya perepiska peredaetsya po internetu v
nezashifrovannom vide, ee mozhno perehvatit' i podsmotret' na pochtovom
servere, i, dazhe sfal'sificirovat'. Tol'ko dlya zanyatiya etim nuzhna vysokaya
kvalifikaciya i dostup k etomu serveru. A ego mogut poluchit' lyudi tol'ko treh
professij: sisadmin - kotoryj s gorazdo bol'shim interesom poigraet v
svobodnoe vremya v quake, haker - kotoromu nedosug zanimat'sya glupostyami -
ved' zarubku na klaviature stavyat ne za vzlomannoe pis'mo, a za vzlomannyj
server, i, nakonec, te-komu-polozheno. No vy ved' ne akademik Saharov.
Govoryat, po seti kradutsya hakery, vzlamyvaya vse podryad, vykradyvaya iz
komp'yuterov den'gi, bilety, telefony lyubovnic, i stalkivaya s orbity
kosmicheskie sputniki.
Ne ver'te. |to poklep. Den'gi tratyatsya sami soboj, bilety - prosto
teryayutsya, a kosmicheskie sputniki po tcp/ip zavalivat' ne obyazatel'no - oni i
sami padayut.
I, nakonec, samoe opasnoe zabluzhdenie: Govoryat, internetovskij server
mozhno sdelat' na baze Windows NT.
Opasno eto zabluzhdenie tem, chto prinosit problem bol'she, chem vse
hakerskie ataki vmeste vzyatye, i garantiruet vse te zhe nepriyatnosti, chto i
ot vzloma sistemy: poterya rabotosposobnosti, otkazy, zavisaniya, i kak
sledstvie - gemmor, pereinstallyaciya sistemy i poterya klientov.
Real'nye opasnosti dlya bezopasnosti
V realizacii protokolov TCP/IP est' neskol'ko dovol'no nepriyatnyh
nedorabotok, kotorye povlekli za soboj dyrki v bezopasnosti internet-hosta,
prichem est' sredi nih i takie, kotorye slozhno ili dazhe nevozmozhno zakryt'
polnost'yu.
Sistema DNS (opredelenie IP-adresa po domennomu imeni komp'yutera)
"verit" pervomu zhe otkliknuvshemusya na zapros nejm-serveru, i ee mozhno
obmanut', podsunuv pod vidom otklika fal'sificirovannyj otvet. Prichem
obmanut' mozhno ne tol'ko otdel'no-vzyatuyu klientskuyu mashinu, no i server DNS,
"nakormiv" ego fal'shivymi adresami. Obmanutyj server nachnet peredavat'
"fal'shivuyu" informaciyu vsem svoim klientam, chto osobenno bolezneno, esli eto
krupnyj provajderskij host, obsluzhivayushchij vseh klientov etogo provajdera.
Zashchity ot takogo metoda ataki net, i ego shiroko primenyayut dlya podmeny
populyarnyh veb-serverov. Esli vy vstretite soobshchenie o tom, chto "golovnaya
stranica servera imyarek zamenena stranicej s prizyvami (prizyvy ne propushcheny
cenzuroj)" - to 95%, chto eto sdelano podmenoj DNS. Edinstvennoe kardinal'noe
lechenie etoj dyry - perevod vseh DNS-serverov v mire na named versii 8 -
process dovol'no dlitel'nyj i boleznennyj, i konca emu poka ne vidno.
Ko mnogim serveram primenimo celoe semejstvo DoS atak (Denial of
Service) - v prostorechii eti metody mozhno nazvat' "zakidat' bananovymi
shkurkami" - kogda atakuyushchij generit bol'shoj potok zaprosov na server, server
ne uspevaet ih obrabotat' i zabivaet svoi vhodnye ocheredi fal'shivkami,
real'nym zhe pol'zovatelyam v ocheredi uzhe ne ostaetsya mesta. |to mozhet byt' i
SYN-ataka - zabivayushchaya priemnuyu ochered' tcp-paketov na nizkom urovne, a
mozhet banal'noe "zadavlivanie" veb-servera bol'shim potokom standartnyh
http-zaprosov.
S tochki zreniya opredelenij zavalivanie servera DoS-atakoj ili
DNS-podmenoj nel'zya nazvat' vzlomom v chistom vide. No v tom to i beda, chto
dlya atakovannogo sajta rezul'tat odin i tot zhe - chto pri vzlome, chto pri
zavale, chto pri banal'nom otkaze po prichine oshibok samogo administratora:
server molchit, posetiteli ne mogut na nego popast', administratoru -
golovnaya bol' i bor'ba s neispravnostyami, a nachal'stvu - otmyvanie mundira i
denezhnye problemy - garantirovany.
A raz tak, to nespecialistam (t.e. podavlyayushchemu bol'shinstvu) mozhno ne
tratit' vremya i zabivat' sebe golovu izucheniem, kakie tipy, vidy i podvidy
vzlomov, atak i t.p. sushchestvuyut. Nepriyatnosti vo vseh sluchayah poluchayutsya
sovershenno identichnye. Zato, pozhaluj, stoit proklassificirovat' prichiny
otkaza sistemy.
1. Zlonamerennoe vneshnee vmeshatel'stvo. ("Haker.")
2. Zlonamerennoe vnutrennee vmeshatel'stvo. ("Zaslannyj kazachok.")
3. Neprednamerenoe vnutrennee golovotyapstvo. ("Akela promahnulsya.")
4. Programmno-apparatnaya neispravnost'. ("Lomaetsya vse.")
Kak legko dogadat'sya, ot "kazachka" zashchitit'sya nevozmozhno v principe.
Ponizit' veroyatnost' "polomok" mozhno vlozhiv den'gi v bolee dorogoe i
nadezhnoe oborudovanie. Otkazy iz-za oshibki obsluzhivayushchego personala,
administratora, programmista - neizbezhny i regulyarny, veroyatnost' ih -
naibolee vysokaya, po sravneniyu so vsemi ostal'nymi bedami.
V svete perechislennogo - bor'ba s hakerami stanovitsya uzhe ne stol'
aktual'noj, i pokupka ochen' nadezhnogo, i ochen' dorogogo fajrvolla - vozmozhno
uzhe ne pokazhetsya vam panaceej ot vseh bed. Konechno priyatno imet' v svoem
dachnom domike stal'nuyu bronebojnuyu dver'. No esli steny - iz fanery, esli
okna - zakryty na kryuchok iz provoloki, esli k cherdaku pristavlena lestnica -
to zlodej vse ravno proniknet vo vnutr'. Tak ne luchshe li vmesto pokupaniya
stal'noj dveri, kupit' dver' derevyannuyu no s horoshim zamkom, a na
sekonomlennuyu summu kupit' ramy s reshetkoj i zamok dlya cherdaka? Vozrashchayas'
ot analogij - sekonomiv den'gi na fajrvolle (a ceny na kommercheskij fajrvoll
idut nahodyatsya v intervale ot 10 do 30 tysyach dollarov), mozhno ih vlozhit' s
bol'shej (dlya obespecheniya nadezhnosti) otdachej - v oborudovanie, v obuchenie
sotrudnikov, v povyshennuyu zarplatu, na kotoruyu mozhno budet nanyat'
kvalificirovannogo administratora, delayushchego men'she oshibok, chem
novichok-samouchka.
Samoe opasnoe v internete - ne hakery, a spamery.
Spamery, rassylayushchie po vsemu svetu svoi reklamnye pis'ma davno ne
pol'zuyutsya svoimi sobstvennymi vydelennymi pochtovymi serverami. Potomu chto
ih mgnovenno zasekayut i otklyuchayut provajdery. A provajdery otklyuchayut
spamerov, chtob samim ne ostat'sya v izolyacii, potomu, chto esli oni eto ne
sdelayut, to sosedi perestanut prinimat' ot provajderov-narushitelej _lyubuyu_
pochtu. Sprashivaetsya - pochemu v Moskve mezhdu nekotorymi adresami ne hodit
pochta? (Ne budu utochnyat', mezhdu kem i kem, chtob ne obvinit' nevinovnyh - no
pol'zovateli konechno znayut eti neprohodimye adresa.) Potomu chto koe-kto iz
nashih provajderov ne v sostoyanii pridavit' zavedshihsya u nih spamerov.
Sovremennyj spamer nahodit chuzhoj pochtovyj server, v kotorom (po nedosmotru
sistemnogo administratora) razreshen relaying (peresylka pochty ot "chuzhih"
adresov na "chuzhie" adresa). CHto pozvolyaet spameru poslat' cherez etu mashinu
spam po vsemu miru.
Zadumaemsya na sekundu - chto proizojdet s mashinoj, kotoroj poruchili
razoslat' pis'ma po spisku v neskol'ko soten tysyach adresov. V principe -
nichego osobo strashnogo - pis'ma osyadut v ocheredi (nemalen'koj) i mashina
budet ih potihon'ku rassylat' - po neskol'ko desyatkov edinovremenno i tak v
techenii neskol'kih dnej. Grozit' vam eto budet - sil'noj zagruzkoj
processora i vyhodnogo internetovskogo kanala, a takzhe - baaal'shim schetom ot
provajdera za zarubezhnyj traffik. No eto tol'ko nachalo.
Sredi soten tysyach adresov - procentov 20 - yavlyayutsya ustarevshimi i
nedejstvitel'nymi. Na kazhdoe nedostavlennoe pis'mo mashina poluchit pis'mo ot
mailer-demona - o nedostavke soobshcheniya. I pojdut oni sploshnym potokom tysyachi
zaprosov na soedinenie edinovremenno. Poluchaem klassicheskij DoS - na
SMTP-shnyj port svalivaetsya ogromnoe kolichestvo zaprosov s kotorymi mashina
spravit'sya ne uspevaet. Unix-y obychno eto perenosyat s bol'shim trudom, tratya
VSE svoi sily na priem pochty - pri etom prekrashchaya obsluzhivat' obychnyh
posetitelej. Windows NT - garantirovanno umiraet.
Usugublyaet raznicu to, chto sovremennye versii setevyh Unix - Linux i
FreeBSD po umolchaniyu stavyatsya s otklyuchennym relayng'om, a Windows NT - s
razreshennym.
Pechal'naya istoriya: odin moj znakomyj provajder zhalovalsya, chto klienty,
kotoryh on podklyuchal na etoj nedele vydelennymi kanalam dostali ego
zhalobami: "slomalas', ne rabotaet pochta, pomogite". Vse pyat' klientov, kak
odin. Kazhdyj pered etim reshil postavit' svoj sobstvennyj pochovyj server. Na
Windows NT.
Veb-master - bdi, vrag ne dremlet
Ne podumajte, chto ya neposledovatelen, i prizyvayu naplevat' na
bezopasnost' vykinut' fajvolly i zanimat'sya vmesto etogo
administrativno-hozyajstvennymi voprosami. Konechno net. I fajrvoll nuzhen, i o
hakerah nado ne zabyvat'. Prosto nado smotret' na problemu kompleksno,
sbalansirovanno raspredelyat' resursy, i ne zabyvat' o _vseh_ uzkih mestah. I
o hakerah - tozhe.
Nyneshnij srednestaticheskij vzlomshchik - hakerom v bol'shinstve svoem
nazyvat'sya ne imeet prava. |to obychnyj podrostok ili nedouchivshijsya student,
mesta v zhizni ne nashedshij. Dlya bol'shinstva obnaruzhennyh v operacionnyh
sistemah dyr uzhe napisany programmy, kotorye sami proshchupyvayut okruzhayushchie
hosty, sami opredelyayut v nih nalichie dyrok, sami lomayut, sami zakidyvayut v
prolomannuyu dyru kryuchki i zakladki. CHtob stat' "hakerom" teper' - dostatochno
nakovyryat' sebe etih programm posvezhee, a dal'she ostaetsya prosto ih
zapuskat' i nazhimat' knopku "Ok".
CHtoby zashchitit'sya ot takih vzlomshchikov, dostatochno vnimatel'no
otslezhivat' listy-rassylki s opoveshcheniyami ob obnaruzhennyh dyrkah v svoej
operacionnoj sisteme i zatykat' ih _SRAZU_. Obychno dyrki, eksplojty dlya nih
i zaplatki dlya nih zhe stanovyatsya izvestny prakticheski odnovremenno, i esli
ne tormozit' i zatykat' vse po mere obnaruzheniya, to na vzlom etoj dyry
hakeram ostanetsya ne tak uzh mnogo vremeni.
Stav'te patchi-zaplatki
Samoe nezashchishchennoe sostoyanie servera - v moment ego installyacii i
nachal'noj konfiguracii. LYUBAYA svezhe-proinstallirovannaya operacionnaya sistema
imeet dyrki v bezopasnosti - poskol'ku distributiv byl napechatan davno, a
secutity-patchi, poyavivshiesya s teh por nado stavit' dopolnitel'no.
Na vremya installyacii operacionnoj sistemy na internet-server
OBYAZATELXNO otklyuchite ego ot interneta
Pechal'naya istoriya: Odin moj znakomyj konfiguril server pryamo v
internete. Ego nashchupali i vzlomali srazu - v tot kratkij promezhutok, okolo
15 minut kogda u nego uzhe byl vklyuchen IP-routing, no eshche ne byli dostavleny
patchi. Nikto za nim special'no ne ohotilsya - prosto kakie-to umel'cy gonyali
v eto vremya skaniruyushchuyu programmu i sluchajno natolknulis' na ego host.
Skvoz' dyrku v imap4 emu zakinuli na mashinu root-toolkit - eta sistema
zamenyaet mnogie privychnye yuniksovskie komandy na svoi versii - s troyancami.
Pri etom podmenyayutsya komady tipa ls (prosmotr direktorij), ps (prosmotr
zapushchennyh zadanij) i drugie, i oni pryachut i ne pokazyvayut rezul'taty raboty
hakerskoj programmy - t.e. vzlomshchik stanovitsya "nevidimym" dlya hozyaina
mashiny. A hakerskaya programma mezhdu tem zanyalas' skanirovaniem lokal'noj
seti i podsmatrivaniem parolej, kotorymi pol'zovateli hodili na sosednie
komp'yutery...
Defoltnaya konfiguraciya svezheproinstallirovannogo yuniks-servera
raschitana dlya druzhestvennoj setevoj sredy. Mnogie servisy nahodyatsya v
otkrytom sostoyanii (t.e. "vsem mozhno") - chto udobno v lokal'noj
korporativnoj seti, no absolyutno nepriemlemo v seti obshchego dostupa.
OBYAZATELXNO perevesti mashinu iz rasslablennogo rezhima po umolchaniyu v
rezhim strogoj bezopasnosti (t.e. zapreshcheno vse i vse, komu eto yavnoe ne
razresheno |to kasaetsya vseh setevyh sluzhb - nachinaya s udalennogo logina i
ftp i konchaya printerom i komadami talk, finger i t.d.
Veselaya istoriya: Kogda ya vystavil svoj uzhe dokonfigurennyj server v
obshchij dostup, v pervye zhe chasy v ego logah zapisalis' popytki udalennyh
loginov i podbora parolej iz YAponii i Pol'shi.
Nu i kak prikazhete vyzhivat'?
Poluchaetsya, chto hakery brodyat tolpami, vooruzhennye
programmami-skanerami, oshibat'sya - nel'zya, vzlomat' ili hotya by zavalit' -
mogut prakticheski kazhdogo, i net zashchity. Kak zhe zhit' to togda?
Smotrite na zhizn' proshche. V konce kncov - po rela'nym ulicam nashego
real'nogo goroda hodyat huligany i man'yaki, hodyat s dubinkami i pistoletami.
Kazhdyj iz nas mozhet slopotat' po fizionomii, da i prosto zarezat' mogut v
podvorotne - ili v kvartire okna pobit', i nikakoj zashchity ne budet. Ne
stanesh' ved' hodit' vsyu zhizn' v bronezhilete i s dvumya telohranitelyami za
spinoj. Odnako zhe zhivem, ne boimsya - ne tak strashen chert, kak ego malyuyut,
normal'nyh lyudej - bol'shinstvo, huliganov na vseh nikak ne hvatit - nas
spasaet princip "neulovimogo Dzho". A tak zhe - razumnaya ostorozhnost', i -
gramotnye sistemnye administratory operacionnoj sistemy Unix.
* REDAKTIROVANNYJ VARIANT. Bezopasnost' dlya internet-dachnikov *
---------------------------------------------------------------
© Copyright Maksim Moshkov
Email: moshkow@ipsun.ras.ru
WWW: http://lib.ru/~moshkow/
Date: 13 Jun 1999
Origin: http://lib.ru/SECURITY/securedacha.txt
Radakciya: Mihail YAkubov (qub@qub.com)
---------------------------------------------------------------
Starozhily Runeta, navernoe, pomnyat eshche te vremena, kogda i Runeta-to ne
bylo, vebstranichki na russkom ischislyalis' sotnej shtuk, a russkih serverov
bylo to li dvadcat', to li pyat'desyat. Davno li eto bylo? Vsego lish' 5-6 let
nazad.
Poigraem v associacii. Puskaj bol'shaya, nevirtual'naya zhizn' - eto gorod.
Gorod Moskva. S zavodami, institutami i zhitejskimi zabotami. A Internet -
eto dachi. V otpuskah, v svobodnoe ot raboty vremya, "samozahvatom", ili
organizovanno - nachinayushchie dachniki zaselyali okrestnye servera, polivali svoi
ogorodiki i menyalis' drug s drugom sazhencami i redkimi sortami tyul'panov.
Kto-to skolachival iz podruchnyh lesin, natyrennyh na strojke v sosednej
oblasti, hibarku, kto-to podgonyal kazennyj gruzovichok i otstraival kirpichnuyu
dachku. K starozhilam priezzhali iz goroda znakomye i rodstvenniki pogostit'
i... ostavalis' tozhe, narezaya uchastochki-homyachki po sosedstvu. Tihaya
patriarhal'naya zhizn' narushalas' regulyarnymi bytovymi ssorami i zamireniyami,
nu a milicii v teh krayah otrodyas' ne bylo. Da i ot kogo tut nuzhny
milicionery? Ubijstv, ograblenij i huliganstva - ne nablyudalos', a kogda
navedyvalis' redkie bomzhi, s kotorymi ne spravlyalsya mestnyj storozh, iz
sosednego sovhoza "Krasnyj Relkom" na motorollere priezzhali krepkie
rebyata-mehanizatory i vyshibali neproshennyh gostej k chertovoj babushke.
My zhili v te vremena. My rasslabilis' i privykli k spokojnoj i
bezopasnoj zhizni, k tomu, chto kalitki na uchastkah otkryty, a doma ne
zapirayutsya, okna raspahnuty, i cvetochki, vysazhennye vdol' zabora, ne
vytaptyvaet sosedskij molodnyak.
I proshlo vsego chetyre goda, i my vdrug obnaruzhili, chto polovina
okrestnyh polej zastroeny krepkimi kirpichnymi kottedzhikami, za nashim zaborom
gde 40 hatok raskinulsya dachnyj poselok na 5,000 trehetazhnyh domov, i gorod,
iz kotorogo my bezhali, prishel k nam vnov', so vsemi svoimi problemami.
Huliganstvo? Pozhalujsta. Draka v preulke, krazhi so vzlomom? Skol'ko ugodno.
Nastala pora ochnut'sya i osmotret'sya. I privykat' zhit' v novom, sovsem uzhe ne
virtual'nom mire. Russkij Internet stal sovsem kak nastoyashchij mir - s
zavodami, magazinami i zhitejskimi zabotami.
YA ne sobirayus' rassmatrivat' zdes' problemy zashchity setej krupnyh
kommercheskih firm. Deneg u nih obychno hvataet na to, chtoby kupit' sebe
nadezhnyj i dorogoj fajrvoll. Mne interesnee ocenit' nashi s vami problemy -
problemy prostyh pol'zovatelej seti, administratorov veb-serverov i melkih
provajderov.
Vryad li pri vzlome nashej sistemy my riskuem bol'shimi den'gami. Ne
dumayu, chto na nashem servere hranitsya nevospolnimaya informaciya. Vse proshche i
prozaichnee. Lyuboj vzlom obhoditsya administratoru v bol'shie poteri lichnogo i
rabochego vremeni.
Vzlomannyj server nel'zya ispol'zovat' dal'she. Vylovit' vse vozmozhnye
hakerskie zakladki i troyanskih konej - delo nelegkoe. A samoe glavnoe -
nel'zya byt' stoprocentno uverennym v uspehe.
Poetomu posle vzloma doroga u nas odna -- polnaya pereinstallyaciya
sistemy s nulya. Ustanovka operacionki i vsego prikladnogo softa s
ditributivov. A takogo softa pochti vsegda - mnogo. I nastrojka ego pod
konkretnoe okruzhenie tozhe delo ne mgnovennoe. Po drugomu ne poluchitsya, a eto
neskol'ko chasov raboty, a inogda -- neskol'ko dnej.
Itak, poteri ot vzloma dlya obychnogo nekommercheskogo servera - eto
potrachennoe vremya i trata sil. Dlya kommercheskogo - eto nedovol'stvo
klientov, udar po prestizhu, a mozhet byt', dazhe i po karmanu. I konechno,
opyat' lishniya trata sil - cennye tehnicheskie specialisty vmesto resheniya
planovyh zadach budut vosstanavlivat' sistemu, poluchaya za eto svoyu otnyud' ne
malen'kuyu zarplatu.
Perechislyu neskol'ko ustojchivyh zabluzhdenij i mifov, bytuyushchih v svyazi s
Internetom v golovah ryadovyh pol'zovatelej.
Govoryat, chto v internete krome pornuhi nichego ne najti. I tol'ko za
eroticheskimi kartinkami narod po seti i sharitsya.
Govorit' takuyu chepuhu mozhet tol'ko tot, kto nikogda ne pytalsya najti
dostojnyj i interesnyj pornoserver. A kto pytalsya, tot uzhe znaet - vse chto
ugodno krome, cherta lysogo proshche najti, chem server s kartinkami, a ne
server, gde vam pokazhut tysyachi durackih bannerov i budut dolgo klyanchit'
nomer kreditki, kotoroj u vas vse ravno net.
Govoryat, chto s perepiskoj po email'u nado byt' ostorozhnym, ved'
kto-nibud' mozhet poslat' vashemu drugu ot vashego imeni vsyakie gadosti, a ego
otvety perehvatyvat', chtob ne dat' emu proyasnit' situaciyu.
Da, dejstvitel'no, bytovaya perepiska peredaetsya po internetu v
nezashifrovannom vide, ee mozhno perehvatit' i podsmotret' na pochtovom
servere, i dazhe sfal'sificirovat'. Tol'ko dlya zanyatiya etim nuzhna vysokaya
kvalifikaciya i dostup k etomu serveru. A ego mogut poluchit' lyudi tol'ko treh
professij: sisadmin - kotoryj s gorazdo bol'shim interesom poigraet v
svobodnoe vremya v Quake, haker - kotoromu nedosug zanimat'sya glupostyami
(ved' zarubku na klaviature stavyat ne za prochtennoe pis'mo, a za vzlomannyj
server), i, nakonec, te-komu-polozheno. No vy ved' ne akademik Saharov.
Eshche govoryat, po seti kradutsya hakery, vzlamyvaya vse podryad, vykradyvaya
iz komp'yuterov den'gi, bilety, telefony lyubovnic, i stalkivaya s orbity
kosmicheskie sputniki.
Ne ver'te. |to poklep. Den'gi tratyatsya sami soboj, bilety - prosto
teryayutsya, a kosmicheskie sputniki po TCP/IP zavalivat' ne obyazatel'no - oni i
sami padayut.
I, nakonec, samoe opasnoe zabluzhdenie: govoryat, internetovskij server
mozhno sdelat' na baze Windows NT.
Opasno eto zabluzhdenie tem, chto prinosit problem bol'she, chem vse
hakerskie ataki vmeste vzyatye, i garantiruet vse te zhe nepriyatnosti, chto i
ot vzloma sistemy: poterya rabotosposobnosti, otkazy, zavisaniya, i kak
sledstvie - sizifovy trudy i pot, pereinstallyaciya sistemy i poterya klientov.
Real'nye opasnosti dlya bezopasnosti
V realizacii protokolov TCP/IP est' neskol'ko dovol'no nepriyatnyh
nedorabotok, vlekut za soboj dyrki v bezopasnosti Internet-hosta, prichem
est' sredi nih i takie, kotorye slozhno ili dazhe nevozmozhno zakryt'
polnost'yu.
Sistema DNS (opredelenie IP-adresa po domennomu imeni komp'yutera)
"verit" pervomu zhe otkliknuvshemusya na zapros name-serveru, i ee mozhno
obmanut', otvet sfal'sificirovav. Prichem obmanut' mozhno ne tol'ko otdel'no
vzyatuyu klientskuyu mashinu, no i server DNS, "nakormiv" ego fal'shivymi
adresami. Obmanutyj server nachnet peredavat' "fal'shivuyu" informaciyu vsem
svoim klientam, chto osobenno bolezneno, esli eto krupnyj provajderskij uzel,
kotorym pol'zuyutsya klienty etogo provajdera.
Zashchity ot takogo metoda ataki net, i ego shiroko primenyayut dlya podmeny
populyarnyh veb-serverov. Esli vy vstretite soobshchenie o tom, chto "golovnaya
stranica servera imyarek zamenena stranicej s prizyvami (prizyvy ne propushcheny
cenzuroj)" - to devyat' prtiv odnogo za to, chto eto sdelano podmenoj DNS.
Edinstvennoe kardinal'noe lechenie etoj dyry - perevod vseh DNS-serverov v
mire na named versii 8. |to process dlitel'nyj i boleznennyj, i konca emu
poka ne vidno.
Ko mnogim serveram primenim celyj nabor DoS-atak (Denial of Service) -
obrazno govorya, eto vse rakno kak "zakidat' bananovymi shkurkami". Atakuyushchij
generit bol'shoj potok zaprosov na server, server ne uspevaet ih obrabatyvat'
i zabivaet svoi vhodnye ocheredi otvetami-v-nikuda, real'nym zhe pol'zovatelyam
v ocheredyah uzhe ne ostaetsya mesta. |to mozhet byt' i SYN-ataka - zabivayushchaya
priemnuyu ochered' TCP-paketov na nizkom urovne, a mozhet banal'noe
"zadavlivanie" veb-servera bol'shim potokom prostyh HTTP-zaprosov.
S tochki zreniya opredelenij zavalivanie servera DoS-atakoj ili
DNS-podmenoj nel'zya nazvat' vzlomom v chistom vide. No v tom-to i beda, chto
dlya atakovannogo sajta rezul'tat odin i tot zhe - chto pri vzlome, chto pri
zavale, chto pri banal'nom otkaze po prichine oshibok samogo administratora:
server molchit, posetiteli ne mogut na nego popast', administratoru -
golovnaya bol' i bor'ba s neispravnostyami, a nachal'stvu - otmyvanie mundira i
denezhnye problemy, vse eto -- s garantiej.
A raz tak, to nespecialistam (to est' podavlyayushchemu bol'shinstvu) mozhno
ne tratit' vremya i ne zabivat' sebe golovu izucheniem, kakie tipy, vidy i
podvidy vzlomov, atak i t. d. sushchestvuyut. Nepriyatnosti vo vseh sluchayah
poluchayutsya sovershenno identichnye. Zato, pozhaluj, stoit proklassificirovat'
prichiny otkaza sistemy.
1. Zlonamerennoe vneshnee vmeshatel'stvo ("Haker")
2. Zlonamerennoe vnutrennee vmeshatel'stvo ("Zaslannyj kazachok")
3. Neprednamerenoe vnutrennee golovotyapstvo ("Akela promahnulsya")
4. Programmno-apparatnaya neispravnost' ("Lomaetsya vse")
Kak legko dogadat'sya, ot "kazachka" zashchitit'sya nevozmozhno v principe.
Ponizit' veroyatnost' "polomok" mozhno, vlozhiv den'gi v bolee dorogoe i
nadezhnoe oborudovanie. Otkazy iz-za oshibki obsluzhivayushchego personala,
administratora, programmista - neizbezhny i regulyarny, veroyatnost' ih, po
sravneniyu so vsemi ostal'nymi bedami, naibolee vysokaya.
V etom svete bor'ba s hakerami stanovitsya uzhe ne stol' aktual'noj, shum
vokrug nih kazhetsya neproporcional'no gromkim, i pokupka ochen' nadezhnogo (i
ochen' dorogogo) fajrvolla, vozmozhno, uzhe ne pokazhetsya vam panaceej ot vseh
bed. Konechno, priyatno imet' v svoem dachnom domike stal'nuyu bronebojnuyu
dver'. No esli steny - iz fanery, esli okna zakryty na kryuchok iz provoloki,
esli k cherdaku pristavlena lestnica - to zlodej vse ravno proniknet vnutr'.
Tak ne luchshe li vmesto pokupki stal'noj dveri kupit' dver' derevyannuyu no s
horoshim zamkom, a na sekonomlennuyu summu kupit' ramy s reshetkoj i zamok dlya
cherdaka? Voploshchaya analogii - sekonomiv den'gi na fajrvolle (a ceny na
kommercheskij fajrvoll nahodyatsya v intervale ot 10 do 30 tysyach dollarov),
mozhno ih vlozhit' s bol'shej (dlya obespecheniya nadezhnosti) otdachej - v
oborudovanie, v obuchenie sotrudnikov, v povyshennuyu zarplatu, na kotoruyu
mozhno budet nanyat' kvalificirovannogo administratora, delayushchego men'she
oshibok, chem novichok-samouchka.
Samoe opasnyj vneshnij vrag - ne hakery, a spamery
Spamery, rassylayushchie po vsemu svetu svoi reklamnye pis'ma, davno ne
pol'zuyutsya svoimi sobstvennymi vydelennymi pochtovymi serverami. Potomu chto
ih mgnovenno zasekayut i otklyuchayut provajdery. A provajdery otklyuchayut
spamerov, chtob samim ne ostat'sya v izolyacii, potomu chto esli oni etogo ne
sdelayut, to sosedi perestanut prinimat' ot provajderov-narushitelej _lyubuyu_
pochtu. Sprashivaetsya - pochemu v Moskve mezhdu nekotorymi adresami ne hodit
pochta? (Ne budu utochnyat', mezhdu kem i kem, chtob ne obvinit' nevinovnyh - no
pol'zovateli, konechno, znayut eti neprohodimye adresa.) Potomu chto koe-kto iz
nashih provajderov ne v sostoyanii pridavit' zavedshihsya u nih spamerov.
Sovremennyj spamer nahodit chuzhoj pochtovyj server, v kotorom (po nedosmotru
sistemnogo administratora) razreshen relaying (peresylka pochty ot "chuzhih"
adresov na "chuzhie" adresa). CHto pozvolyaet spameru poslat' cherez etu mashinu
spam po vsemu miru.
Zadumaemsya na sekundu - chto proizojdet s mashinoj, kotoroj poruchili
razoslat' pis'ma po spisku v neskol'ko soten tysyach adresov. V principe,
nichego osobo strashnogo - pis'ma osyadut v ocheredi (nemalen'koj), i mashina
budet ih potihon'ku, po neskol'ko desyatkov edinovremenno, rassylat' -- i tak
v techenii neskol'kih dnej. Grozit' vam eto budet sil'noj zagruzkoj
processora i vyhodnogo internetovskogo kanala, a takzhe - baaal'shim schetom ot
provajdera za zarubezhnyj traffik. No eto tol'ko nachalo.
Sredi soten tysyach adresov - procentov 20 - yavlyayutsya ustarevshimi i
nedejstvitel'nymi. Na kazhdoe nedostavlennoe pis'mo mashina poluchit pis'mo ot
"demona-pochtarya" (mailer-daemon) - o nedostavke soobshcheniya. I pojdut oni
sploshnym potokom, tysyachi zaprosov na soedinenie edinovremenno. Poluchaem
klassicheskij DoS - na SMTP-shnyj port svalivaetsya ogromnoe kolichestvo
zaprosov s kotorymi mashina spravit'sya ne uspevaet. Unix-y obychno eto
perenosyat s bol'shim trudom, tratya VSE svoi sily na priem pochty - pri etom
prekrashchaya obsluzhivat' obychnyh posetitelej. Windows NT - garantirovanno
umiraet. Usugublyaet raznicu to, chto sovremennye versii setevyh Unix - Linux
i FreeBSD po umolchaniyu stavyatsya s otklyuchennym relayng'om, a Windows NT - s
razreshennym.
Pechal'naya istoriya: odin moj znakomyj provajder zhalovalsya, chto klienty,
kotoryh on podklyuchal na etoj nedele po vydelennomu kanalu, dostali ego
zhalobami: "slomalas', ne rabotaet pochta, pomogite". Vse pyat' klientov, kak
odin. Kazhdyj pered etim reshil postavit' svoj sobstvennyj pochovyj server. Na
Windows NT.
Veb-master - bdi, vrag ne dremlet
Ne podumajte, chto ya neposledovatelen i prizyvayu naplevat' na
bezopasnost', vykinut' fajvolly i zanimat'sya vmesto etogo
administrativno-hozyajstvennymi voprosami. Konechno net. I fajrvoll nuzhen, i o
hakerah nado ne zabyvat'. Prosto nado smotret' na problemu kompleksno,
sbalansirovanno raspredelyat' resursy, i ne zabyvat' obo _vseh_ uzkih mestah.
I o hakerah - tozhe.
Nyneshnij srednestaticheskij vzlomshchik hakerom v bol'shinstve svoem
nazyvat'sya ne imeet prava. |to obychnyj podrostok ili nedouchivshijsya student,
mesta v zhizni ne nashedshij. Dlya bol'shinstva obnaruzhennyh v operacionnyh
sistemah dyr uzhe napisany programmy, kotorye sami proshchupyvayut okruzhayushchie
hosty, sami opredelyayut v nih nalichie dyrok, sami lomayut, sami zakidyvayut v
prolomannuyu dyru kryuchki i zakladki. CHtob stat' "hakerom" teper', dostatochno
nakovyryat' sebe etih programm posvezhee, a dal'she ostaetsya prosto ih
zapuskat' i nazhimat' knopku "Ok".
CHtoby zashchitit'sya ot takih vzlomshchikov, dostatochno vnimatel'no
otslezhivat' listy-rassylki s opoveshcheniyami ob obnaruzhennyh dyrkah v svoej
operacionnoj sisteme i zatykat' ih _SRAZU_. Obychno dyrki, eksplojty (t. e.
sposby ispol'zovaniya dyrok) i zaplatki dlya nih zhe stanovyatsya izvestny
prakticheski odnovremenno, i esli ne tormozit' i zatykat' vse po mere
obnaruzheniya, to na prolom cherez ocherednuyu dyru hakeram ostanetsya ne tak uzh
mnogo vremeni.
Samoe nezashchishchennoe sostoyanie servera - v moment ego installyacii i
nachal'noj konfiguracii. LYUBAYA svezhe-proinstallirovannaya operacionnaya sistema
imeet dyrki v bezopasnosti - poskol'ku distributiv byl napechatan davno, a
security-patchi, poyavivshiesya s teh por, nado stavit' dopolnitel'no.
Na vremya installyacii operacionnoj sistemy na internet-server
OBYAZATELXNO otklyuchite ego ot Interneta.
Pechal'naya istoriya: Odin moj znakomyj nastraival server pryamo v
Internete. Ego nashchupali i vzlomali srazu, v tot kratkij promezhutok (vsego
okolo 15 minut) poka u nego uzhe byl vklyuchen IP-routing, no eshche ne byli
dostavleny zaplatki. Nikto za nim special'no ne ohotilsya, prosto kakie-to
umel'cy gonyali v eto vremya skaniruyushchuyu programmu i sluchajno natolknulis' na
ego mashinu. Skvoz' dyrku v imap4 emu zakinuli na mashinu root-toolkit - eta
sistema zamenyaet mnogie privychnye yuniksovskie komandy na svoi versii, s
troyancami. Pri etom podmenyayutsya komady tipa ls (prosmotr direktorij), ps
(prosmotr zapushchennyh zadanij) i drugie, i oni pryachut, ne pokazyvayut
rezul'taty raboty hakerskoj programmy. Takim obrazom, vzlomshchik stanovitsya
"nevidimym" dlya hozyaina mashiny, a ustanovlennaya im hakerskaya programma tem
vremenem uzhe zanyalas' skanirovaniem lokal'noj seti i podslushivaniem parolej,
s kotorymi pol'zovateli hodili na sosednie komp'yutery...
Konfiguraciya po umolchaniyu svezheproinstallirovannogo YUniks-servera
raschitana na druzhestvennoe setevoe okruzhenie. Mnogie servisy nahodyatsya v
otkrytom sostoyanii (t. e. v polozhenii "vsem mozhno") - chto udobno v lokal'noj
korporativnoj seti, no absolyutno nepriemlemo v seti obshchego dostupa.
Neobhodimo OBYAZATELXNO perevesti mashinu iz rasslablennogo rezhima po
umolchaniyu v rezhim strogoj bezopasnosti (t. e. kogda zapreshcheno vse i vsem,
komu eto yavno ne razresheno). |to kasaetsya vseh setevyh sluzhb - nachinaya s
udalennogo logina i FTP i konchaya printerom i komadami talk, finger i t. p.
Veselaya istoriya: Kogda ya vystavil svoj uzhe dokonfigurennyj server v
obshchij dostup, v pervye zhe chasy v ego logah zapisalis' popytki udalennyh
loginov i podbora parolej iz YAponii i Pol'shi.
Nu i kak prikazhete vyzhivat'?
Poluchaetsya, chto hakery brodyat tolpami, vooruzhennye
programmami-skanerami, oshibat'sya - nel'zya, vzlomat' ili hotya by zavalit' -
mogut prakticheski kazhdogo, i net zashchity. Kak zhe zhit' to togda?
Smotrite na zhizn' proshche. V konce kncov - po rela'nym ulicam nashego
real'nogo goroda hodyat huligany i man'yaki, hodyat s dubinkami i pistoletami.
Kazhdyj iz nas mozhet slopotat' po fizionomii, da i prosto zarezat' mogut v
podvorotne - ili v kvartire okna pobit', i nikakoj zashchity ne budet. Ne
stanesh' ved' hodit' vsyu zhizn' v bronezhilete i s dvumya telohranitelyami za
spinoj. Odnako zhe zhivem, ne boimsya. Ne tak strashen chert, kak ego malyuyut,
normal'nyh lyudej - bol'shinstvo, huliganov na vseh nikak ne hvatit - nas
spasaet princip "neulovimogo Dzho". A tak zhe - razumnaya ostorozhnost', i
gramotnye sistemnye administratory operacionnoj sistemy Unix.
Last-modified: Tue, 14 Sep 1999 04:46:19 GMT