Чи надійна захист у вашого Internet-провайдера?

www.hackerz.ru

<br /> Web-серверів стає все більше, і компаніям, довіряє важливу<br /> інформацію службі Web-хостингу (надання в оренду Web-вузлів), в<br /> першу чергу слід з&#39;ясувати, які засоби захисту використовує той чи<br /> інший Internet-провайдер. Всі ISP (Internet Service Provider) стверджують,<br /> що надійно захищають інформацію клієнтів від чужих очей, проте на перевірку<br /> вживані заходи безпеки можуть виявитися не такими надійними, а цінний<br /> інформація на корпоративних Web-вузлах стає надбанням хакерів.<br /> Хто краще за інших зможе вистежити і зловити хакера? Такий же хакер. Так<br /> вирішив один Internet-провайдер, що надає в оренду Web-вузли, називати<br /> якого ми не станемо. І тоді він запросив хакерів, відомих під<br /> кличками Мадж і Велд, з бостонської групи l0pht, щоб проаналізувати<br /> випадок незаконного вторгнення.<br /> Ця парочка з&#39;ясувала таке. Якийсь зловмисник виявив, що в одній<br /> з компаній, що входять у список Fortune 1000, яка була клієнтом даного<br /> ISP, установки за замовчуванням виявилися погано налаштована. Чим він і<br /> скористався, заклавши &quot;пастку&quot; в Web-сервер.<br /> Нападник простежив дії системного адміністратора компанії-жертви,<br /> коли той входив на Web-сервер, щоб перевірити деякі файли. Занадто<br /> поспішаючи повернутися в корпоративну локальну мережу, він не скористався<br /> &quot;Logoff&quot;, а набрав свій пароль, виконавши, таким чином, &quot;дірку&quot; в<br /> брандмауері. За допомогою загальнодоступної програми-&quot;нюхачі&quot;, яка вважала<br /> пароль адміністратора та його ідентифікаційний номер, зловмисник<br /> забезпечив собі електронну ідентичність з адміністратором, а потім пройшов<br /> його шляхом до головного сервера корпорацій.</p> <p>Неясно, що саме було метою хакера &#8211; вкрасти вихідні коди, що виконується<br /> модуль програми або просто відчути радість перемоги. Очевидно лише, що його<br /> дії &#8211; найпростіший сценарій, користуючись яким, можна обійти<br /> брандмауери та інші засоби захисту ISP, щоб завдати шкоди їх клієнтам.<br /> Так вважає Мадж, який разом з Велд та іншими членами групи l0pht<br /> поставив свій досвід хакерства на службу дослідженню та тестування систем.<br /> &quot;Більшість великих Internet-провайдерів, що надають бізнес-служби,<br /> стверджують, що вони уважно ставляться до питань захисту, проте в<br /> основному це лише слова, &#8211; стверджує Мадж. &#8211; Ми провели аудит дуже<br /> великої компанії, що спеціалізується в області Internet-служб, і<br /> виявили, що захист в ній відсутня. Були незакриті &quot;дірки&quot; і в<br /> операційній системі. Була відсутня фільтрація. Оскільки цей ISP,<br /> забезпечує обслуговування спільно використовуваних серверів, дозволяв<br /> користувачам входити в систему без шифрування, ми змогли зламати<br /> з&#39;єднання і отримати контроль над комп&#39;ютерами &quot;.<br /> Кредо хакера: інформація &#8211; це сила. Якщо компанія зберігає будь-які<br /> цінні відомості на Web-серверах, розташованих у Internet-провайдера чи<br /> центрі Web-хостингу, слід дуже ретельно вивчити, яка політика<br /> безпеці відповідного ISP. Навіть якщо інформація на Web-сервері не<br /> представляє великої цінності, потрібно враховувати: в результаті дій<br /> хакерів можливі відмова в обслуговуванні, у підтримці Web-сторінок, а також<br /> прорив зловмисника до того, що Мадж і його колеги називають &quot;найбільшою<br /> смачною начинкою &quot;, &#8211; до центру локальної мережі.<br /> Небезпека завжди поруч<br /> Все більше компаній перекладають турботу щодо забезпечення своїх потреб<br /> з підтримки торгівлі через Internet на плечі бізнес-служб<br /> Internet-провайдерів або центрів обслуговування Web-хостингу. Сервери,<br /> що знаходяться за межами служб Web-хостингу, стали найбільш привабливими<br /> мішенями для пронозливі хакерів, які вивуджують інформацію до тих пір,<br /> поки не знайдуть лазівку. І така найчастіше виявляється в неправильно<br /> сконфигурированное брандмауері або маршрутизаторі.<br /> Що роблять зловмисники, пробравшись в комп&#39;ютер, залежить від архітектури<br /> мережі. І тут найбільш вразливими виявляються структури, в яких сервери<br /> використовуються спільно кількома компаніями. За словами Велд, в такому<br /> випадку, вломилися в будь-який комп&#39;ютер, ви відразу ж &quot;отримуєте&quot; всіх<br /> клієнтів.<br /> Дізнавшись імена і паролі користувачів, хакери за допомогою засобів злому<br /> перевіряють їх по &quot;словника&quot; відомих паролів, виявляючи певні<br /> відповідності використовують для присвоєння прав адміністратора. Джон Хенкінс,<br /> директор служб Web-хостингу компанії GTE, вважає найкращим способом<br /> захисту спільно використовуваного сервера установку комутатора на кожному його<br /> порте. Тоді кожному підприємству-клієнту стає доступною лише частина<br /> смуги пропускання загального каналу, що може запобігти захопленню паролів<br /> користувачів. Така практика, якої дотримується і компанія GTE.<br /> Ще краще &#8211; застосовувати комутатори, забезпечують фільтрацію, т. е.<br /> суворий контроль за трафіком між комп&#39;ютерами і з&#39;єднаннями. Однак<br /> вартість фільтруючих комутаторів становить 400-500 дол., нефільтрующіх<br /> &#8211; Близько 100 дол., А спеціальних мережевих процедур &#8211; якісь центи, тому<br /> багато дрібних Internet-провайдери не використовують фільтруючі комутатори.<br /> &quot;GTE говорить про 32 портах на один концентратор, що означає великі<br /> гроші, &#8211; пояснює один з хакерів-аудиторів. &#8211; Не варто розраховувати на<br /> те, що ваш провайдер не захоче зекономити &quot;.<br /> Інформаційна фірма OneSourse з обігом 10 млн дол. вважає ці витрати<br /> необхідними і виправданими. Зараз вона займається перенесенням свого<br /> надбання &#8211; стратегічної інформації, призначеної для продажу діловим<br /> і фінансовим клієнтам типу Bank of America і Oracle, &#8211; на 20 виділених<br /> серверів, які буде обслуговувати компанія GTE. &quot;Наші дослідження<br /> показали, що багато Internet-провайдери мають брандмауери, і нічого крім<br /> них &quot;, &#8211; пояснює Марк Ван Дайн, віце-президент з технологічного<br /> оснащенню OneSource.<br /> Майже всі вони мають досить туманне уявлення про атаки, яким<br /> піддавалися, і стверджують, що їм нічого не відомо про дійсні<br /> вторгнення в його мережі. Саме цього і домагаються нападники. &quot;Хороші<br /> хакери діють на чужих машинах, не видаючи себе &quot;, &#8211; стверджує Йобі<br /> Бенджамін, головний директор по базах знань консалтингової компанії<br /> Cambridge Technology Partners.<br /> Хоча відчуття захищеності оманливе, клієнти ISP на ділі стурбовані<br /> дещо іншими проблемами, які можна спостерігати візуально (наприклад,<br /> зловмисним пошкодженням Web-сторінок або заміною їх вмісту на<br /> порнографічне, расистську та ін.) Роб Тобіас, Web-майстер і директор з<br /> маркетингу компанії Mixman Technologies, що займається продажем через<br /> Internet музичних компакт-дисків на двох спільно використовуваних<br /> серверах, які обслуговуються фірмою Best Internet, вважає великою<br /> неприємністю вторгнення на відкритий сервер компанії і навмисне перекручування<br /> Web-сторінок. У подібних випадках хакери отримують доступ до функцій<br /> читання / запису, використовуючи пароль клієнта.<br /> Маленькі секрети<br /> У минулому році зазнали змін сотні Web-сторінок, причому в<br /> деяких випадках це викликало різкі відгуки в пресі. Наприклад:<br /> на сторінці ЦРУ назва управління було змінено на Central Stupidity<br /> Agency (Центральне агентство дурості), а її зв&#39;язки були переадресовані на<br /> адресну сторінку журналу Playboy;<br /> компанії CyberPromotions сильно дісталося за її прихильність до великого<br /> кількістю &quot;рекламного сміття&quot;;<br /> на конференції Defcon хакери помістили карикатури на кіностраніце Hackers<br /> компанії MGM / UA.<br /> Ще один тип неприємних атак називається &quot;відмова в обслуговуванні&quot;. У цьому<br /> випадку нападники завантажують сервери або маршрутизатори занадто великим<br /> кількістю запитів на виконання (так зване PING-заповнення). І<br /> тоді в якийсь момент сервери зупиняються і припиняють обслуговувати<br /> клієнтів, що може дорого обійтися таким фірмам, як Mixman, яка<br /> щомісяця продає компакт-дисків в середньому на 750 тис. дол.<br /> У червні 1997 р. Web-сторінка компанії Microsoft стала жертвою кілька<br /> модифікованої атаки типу &quot;відмова в обслуговуванні&quot;. Хакери використовували<br /> &quot;Дірку&quot; в її сервері Internet Information Server і зациклилися Web-вузол. У<br /> результаті, служба Microsoft не працювала протягом кількох днів &#8211; поки<br /> не була створена &quot;латка&quot;. (Зауважимо, що Microsoft публічно оголосила, що<br /> служба була недоступна для клієнтів всього близько 10 хв, поки сервер<br /> зупиняли і перезавантажували).<br /> За результатами неофіційного аналізу, проведеного хакером se7en, в 1997<br /> р. були успішно атаковані близько 360 Web-сайтів. Багатьох інцидентів можна<br /> було б уникнути при використанні нових додатків для моніторингу,<br /> званих засобами виявлення вторгнень. Правильно сконфигурированное<br /> засіб здатний ідентифікувати атаки різного типу (PING-заповнення,<br /> &quot;Відмова в обслуговуванні&quot;, вторгнення в мережу, перехоплення паролів і т. д.) і<br /> попереджати про них адміністратора. До числа провідних виробників засобів<br /> детектування вторгнень відносяться Internet Security Systems<br /> (Http://www.iss.net), Axent Technologies (http://www.axent.com) і<br /> WheelGroup (http://www.wheelgroup.com).<br /> &quot;Не існує стовідсотково безпечного середовища, &#8211; стверджує Девід<br /> Вандернаалт, директор служб кінцевих користувачів асоціації<br /> International Computer Security Association, &#8211; тому Internet-провайдери<br /> повинні бути напоготові, чекаючи атак. І саме тому так важливі засоби<br /> виявлення вторгнення &quot;.<br /> На жаль, ISP і служби хостингу непослідовні у вирішенні проблем,<br /> пов&#39;язаних з вторгненнями. Компанія GTE, наприклад, здійснює моніторинг<br /> своєї мережі і виявляє незвичайну активність за допомогою додатків<br /> власної розробки, зупиняючи атаки на вході в мережу.<br /> Internet-провайдер Best Internet Communications не використовує жодних<br /> засобів моніторингу &#8211; в цій компанії покладаються на адміністраторів,<br /> які повинні регулярно перевіряти log-файли системи.<br /> Більшість компаній розсилають свої дані по Internet, використовуючи<br /> стандартний протокол FTP, який хакери Мадж і Велд вважають небезпечним<br /> і незграбним. &quot;Протокол FTP був написаний як швидкий&quot; Клюге &quot;(хитрий<br /> програмний трюк) ще в ті дні, коли в мережах налічувалося не більше 10<br /> машин &quot;, &#8211; говорить Велд. З метою безпеки Мадж пропонує обрати менш<br /> наїжджену дорогу і застосовувати не FTP, а Secure Copy Protocol, який<br /> є частиною мережевого протоколу Secure Shell (http://www.ssh.net).<br /> Можна також використовувати протокол HTTP, що підтримує шифрування за<br /> стандарту Secure Sockets Layer (SSL). Поцікавтеся у свого провайдера<br /> або служби хостингу, чи забезпечуються такі можливості.<br /> Нові послуги, нові слабкі місця<br /> Галузеві експерти пророкують у поточному році помітне зростання торгівлі<br /> через Internet. Так, аналітики IDC вважають, що до 2001 р. її обсяг<br /> складе більше 200 млрд дол. При цьому в повний зріст постане проблема<br /> безпеки, оскільки кожен учасник угоди повинен мати гарантії<br /> захисту кредитної інформації та конфіденційності.<br /> Два роки тому компанія Best була одним з небагатьох локальних провайдерів<br /> служби електронної комерції, інфраструктура якої дозволяла<br /> обробляти угоди в режимі реального часу. Ось чому вибір фірми<br /> Mixman ліг саме на неї. Слід особливо відзначити, що для шифрування<br /> вихідної інформації про угоди використовувався сервер захисту SSL, який<br /> був безпосередньо пов&#39;язаний з CyberCash, що забезпечує обробку кредитних<br /> карток.<br /> Тобіас впевнений, що завдяки двухсерверной схеми, реалізованої в компанії<br /> Best, важлива кредитна інформація не потрапить у чужі руки. Один сервер<br /> містить відомості про продукт і форми, а інший збирає зашифровані<br /> SSL-дані про кредитні картки і пересилає їх у CyberCash. На думку<br /> Тобіаса, до другого сервера зможуть дістатися лише уповноважені<br /> адміністратори компанії Best.<br /> В даний час більшість ISP пропонують своїм клієнтам<br /> скористатися протоколом SSL, який шифрує угоди на виході з<br /> сервера. Проте, за оцінкою Марка Каллімора, директора компанії Visa по<br /> електронним банківським службам, у більшості торговців на кожен<br /> зароблений ними долар припадає долар фіктивних платежів. Тому до<br /> шифруванню необхідно додати ще й кошти підтвердження ідентифікації,<br /> що з&#39;явилися в 1997 р. у формі цифрового підпису. Компанії Visa, MasterCard<br /> та інші просувають стандарт Secure Electronic Transactions,<br /> підтримує цифрові підписи.<br /> Суміш протоколів<br /> Для захисту передачі повідомлень електронної пошти та реалізації угод через<br /> Internet є й інші стандарти. Так, на січневій конференції RSA<br /> Data Security Conference більше 30 виробників запропонували свої рішення<br /> проблем взаємодії різних платформ, оголосили про співпрацю з<br /> іншими виробниками і анонсували цілий потік нових стандартів.<br /> Безумовно, всі ці новинки ще більше ускладнили вирішення зазначених<br /> проблем. Справа в тому, що нові протоколи та партнерські угоди<br /> спрямовані в основному на забезпечення захисту окремих передач по проводовим<br /> лініях, в той час як інформація, що представляє собою реальну цінність,<br /> залишається на сервері, по суті, незахищеною.<br /> Фахівці банківської галузі вважають, що якщо при передачі по Internet<br /> захоплена інформація лише однієї з беруть участь в угоді сторін, до<br /> катастрофи ще далеко. Адже метою нападу є проникнення в базу<br /> даних, де компанії-продавці зберігають цілі набори відомостей про кредитні<br /> картках. Влітку минулого року при спробі продажу агентам більше 100 тис.<br /> номерів кредитних карток ФБР заарештувало 36-річного Карлоса Феліпе<br /> Салдаго на прізвисько Смек. Він &quot;винюхував&quot; ці номери на серверах не<br /> встановленого в ході розслідування провайдера з Сан-Дієго, а також у<br /> базах даних, підключених до Internet.<br /> Багатьох проблем можна уникнути, належним чином сконфігурував мережу,<br /> проводячи регулярні тестування, перевірки та виявляючи випадки вторгнення.<br /> Проте важливо пам&#39;ятати, що Internet-провайдери та служби хостингу повинні<br /> підтримувати розумний баланс між захистом і доступністю інформації.<br /> Введення дуже жорсткого захисту сповільнить трафік і збільшить час реакції<br /> клієнта. Занадто слабкий захист зробить атаку неминучою.<br /> Часто загрозою безпеки є людські помилки, над якими не<br /> владні ані ISP, ні служби хостингу, а також вибір пароля, що збігається з<br /> реєстраційним ім&#39;ям клієнта. &quot;Чи існує чарівне правило<br /> забезпечення безпеки? &#8211; Сміється Велд, що перетворився з хакера в<br /> експерта із захисту. &#8211; Так, це правило &#8211; покладатися на здоровий глузд &quot;.<br /> Дебора Редкліфф (Deborah Radcliff) &#8211; незалежна письменниця, яка проживає<br /> в Північній Каліфорнії. З нею можна зв&#39;язатися за адресою DeRad@aol.com.</p> <p>Ключові питання<br /> Оскільки Internet-провайдери, що надають послуги бізнес-хостингу,<br /> стикаються з одними і тими ж проблемами захисту інформації, галузева<br /> група NCSA (National Center for Supercomputing Applications)<br /> розробляє пропозиції щодо структури засобів захисту, які будуть<br /> передані всім ISP. Крім того, групи Internet Engineering Task Force<br /> (IETF) і Computer Emergency Response Team Університету Карнегі Меллон<br /> розробляють детальну документацію. Очолює роботу Том Кіллалеа,<br /> менеджер з розробки компанії-провайдера NorthWest Net.<br /> Кіллалеа і Скотт Маркл, менеджер консорціуму по захисту ISP асоціації<br /> International Computer Security Association, вважають, що компанії,<br /> займаються електронною комерцією, повинні перш за все сформулювати<br /> власну політику і цілі у сфері безпеки, а вже потім переводити<br /> свої додатки Internet-торгівлі та Web-сервери у відання служб ISP.<br /> Кіллалеа і Маркл розробили питання, які слід задавати<br /> передбачуваному провайдера.<br /> Чи проводить він перевірки захисту? Якщо так, то які їхні результати?<br /> Як відокремлені один від одного підприємства на спільно використовуваних серверах?<br /> (На думку Кіллалеа, багато ISP навіть не намагаються ввести такий поділ.)<br /> Яка конфігурація мережі? Де знаходяться брандмауери? Чи можна встановити<br /> другий брандмауер на вході?<br /> Які типи шифрування і аутентифікації підтримуються?<br /> Чи забезпечується безперервне резервне копіювання з надмірністю для<br /> запобігання непередбачених ситуацій?<br /> Які типи встановлених фізичних засобів захисту? Як захищені<br /> інформаційні центри? Чи мають вони надійну охорону?<br /> Деякі випадки порушення захисту в 1997 р.<br /> Неправильні дії адміністратора локальної мережі компанії AT &amp; T<br /> призвели до встановлення в ній програми-аналізатора пакетів, яка<br /> зчитувала паролі клієнтів.<br /> 16-річний підліток з Броквілл (шт. Онтаріо) викрав 1300<br /> ідентифікаційних номерів та паролів користувачів у місцевого<br /> Internet-провайдера RipNet і передав їх чотирьом своїм шкільним<br /> приятелям.<br /> Почав циркулювати вірус AOL4FREE.COM типу &quot;троянського коня&quot;, стирає<br /> файли користувачів.<br /> Внаслідок атак хакерів протягом двох тижнів сім разів припинявся<br /> доступ в мережу Zip Internet.<br /> Джерело: Infosec Review<br /> Аудит і тестування<br /> Регулярні перевірки захисту є найбільш важливим компонентом будь-<br /> системи безпеки. Такі перевірки включають в себе тестування всієї<br /> мережі на предмет звичайних атак, пошук помилок в конфігурації і додаткові<br /> перевірки в міру введення нового ПЗ та програмних латочок. Проте, як<br /> вважають консультанти і аналітики, так діє тільки ряд великих<br /> Internet-провайдерів, що володіють магістральними каналами і<br /> бізнес-службами.<br /> Хакери з Бостона групи l0pht перевірили за цією методикою кілька<br /> ISP. А нещодавно асоціація International Computer Security Association<br /> (ICSA) випустила свою власну службу тестування<br /> Internet-провайдерів.<br /> Ще одна додаткова служба асоціації ICSA &#8211; тестування самого<br /> Web-вузла. Таке тестування може стати дуже корисним, оскільки навіть<br /> найтурботливіші Internet-провайдери та служби хостингу виявляться абсолютно<br /> незахищеними, якщо клієнт розмістить на своїх серверах погані програми.<br /> Якщо при виборі служби Web-хостингу вашою головною турботою є<br /> безпеку, найкраще звернутися до великої компанії. Скотт Маркл, один<br /> з керівників асоціації ICSA, вважає, що великі ISP, що володіють<br /> магістральними каналами і мають відділи безпеки, забезпечують<br /> набагато більш надійний захист, ніж дрібні Internet-провайдери, які не мають<br /> спеціальних відділів безпеки.</p> <p>

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*