Безпека для інтернет-дачників, Інтернет і інші мережі, Security & Hack, статті

Максим Мошков, WWW: lib.ru/~moshkow/

Ми їдемо на дачу

Старожили рунета напевно пам’ятають ще ті часи, коли і рунета-то не
було, вебстранічкі російською обчислювалися сотнею штук, а росіян серверів
було чи то двадцять, чи то п’ятдесят. Чи давно це було? Всього лише 5-6 років
тому.

Пограємо в асоціації. Отже – нехай велика, Невіртуальна життя – це
місто. Місто Москва. З заводами, інститутами і життєвими турботами. А
Інтернет – це дачі. У відпустках, у вільний від роботи час,
“Самозахопленням”, або організовано – початківці дачники заселяли навколишні
сервера, поливали свої городи і змінювались один з одним саджанцями і
рідкісними сортами тюльпанів. Хтось збирав з підручних Лесин, натиренних
на будівництві в сусідній області халупку, хтось підганяв казенний фірмовий
грузовічек і відбудовував цегляну дачку. До старожилам приїжджали з міста
знайомі і родичі погостювати і … залишалися теж, пристроюючи
діляночки-хом’ячки по сусідству. Тиха патріархальне життя перебивалася
регулярними побутовими сварками і замирення, ну а міліції в цих краях
зроду не було. Та й від кого тут потрібні міліціонери? Вбивств, пограбувань та
хуліганства – не спостерігалося, а коли траплялися поодинокі бомжі з якими не
справлявся місцевий сторож, з сусіднього радгоспу “Червоний Релком” на
моторолері приїжджали міцні хлопці-механізатори і вишибали непрошених
гостей до чортової бабусі.

Ми жили в ті часи. Ми розслабилися і звикли до спокійної безпечної
життя, до того, що хвіртки на ділянках відкриті, а вдома не замикаються, вікна
відчинені, і квіточки, висаджені вздовж паркану, не толочить сусідський
молодняк.

І пройшло всього чотири роки, і ми раптом виявили, що половина
навколишніх полів забудовані міцними цегляними котеджики, за нашим парканом
на 40 хаток розкинувся дачний селище на 5,000 триповерхових будинків, і місто,
з якого ми бігли прийшов до нас знову, з усіма своїми проблемами.
Хуліганство? Будь ласка. Бійка в преулке, крадіжки зі зломом? Скільки завгодно.
Настала пора прокинутися і озирнутися. І звикати жити в новому – вже зовсім
не віртуальному світі. Російський інтернет став зовсім як справжній реальний світ
– З заводами, магазинами і життєвими турботами.

Чим ми ризикуємо

Я не збираюся розглядати тут проблеми захисту великих комерційних
фірм. Грошей у них зазвичай вистачає на те, щоб купити собі надійний і дорогий
файрволл.

Мені цікавіше оцінити наші з вами проблеми – проблеми простих
користувачів мережі, адміністраторів веб серверів і дрібних провайдерів.

Навряд чи при зломі нашої системи ми ризикуємо великими грошима. Чи не
думаю, що на нашому сервері зберігається непоправна інформація. Все простіше і
прозаїчніше. Будь злом обходиться адміністратору у великі втрати особистого й
робочого часу.

Зламаний сервер можна використовувати далі. Виловити всі можливі
хакерські закладки і троянських коней – справа не легка. А найголовніше – не
100%-е.

Тому після злому дорога у нас одна. Повна переінсталяції системи
з нуля. Установка операційки, і всього прикладного софту з дітрібутівов. А
його, цього софта – багато. І налаштування його за місцем – теж справа не
миттєве. По іншому – не вийде, а це кілька годин роботи. Іноді
навіть – кілька днів.

Отже – втрати від злому для звичайного некомерційного сервера – це
втрачене час і зайвий гемморой. Для комерційного – це невдоволення
клієнтів, удар по престижу, а може бути навіть по кишені. І – звичайно
зайвий гемморой – цінні технічні фахівці замість вирішення планових
задач будуть витрачати свій час на відновлення системи. Отримуючи за це
свою аж ніяк не маленьку зарплату.

Легенди і міфи

Перелічу кілька стійких помилок і міфів, що існують з приводу
інтернету в головах пересічних інтернет-користувачів.

Кажуть, що в інтернеті крім порнухи нічого не знайти. І тільки за
еротичними картинками народ по мережі і шарітся

Говорити таку маячню може лише той, хто ніколи не намагався знайти
гідний і цікавий порносервер. А хто намагався – той уже знає – все що
завгодно окрім, навіть чорта лисого простіше знайти, чим сервер з картинками а не
сервер, де у вас будуть показувати тисячі безглуздих банерів і вимагати номер
кредитки і якій у вас все одно немає.

Кажуть, що з листуванням по email треба бути обережним, адже
хто-небудь може слати вашому другу від вашого імені всякі гидоти, а його
відповіді перехоплювати, щоб не дати йому прояснити ситуацію

Так, дійсно, побутова листування передається по інтернету в
незашифрованому вигляді, її можна перехопити і підглянути на поштовому
сервері, і, навіть сфальсифікувати. Тільки для заняття цим потрібна висока
кваліфікація та доступ до цього сервера. А його можуть отримати люди тільки трьох
професій: сисадмін – який з набагато більшим інтересом пограє в
вільний час в quake, хакер – якому ніколи займатися дурницями –
адже зарубку на клавіатурі ставлять не за зламані лист, а за зламаний
сервер, і, нарешті, те-кому-належить. Але ж ви не академік Сахаров.

Кажуть, по мережі крадуться хакери, зламуючи все підряд, викрадивая з
комп’ютерів гроші, квитки, телефони коханок, і зіштовхуючи з орбіти
космічні супутники

Не вірте. Це наклеп. Гроші витрачаються самі собою, квитки – просто
губляться, а космічні супутники по tcp / ip завалювати не обов’язково – вони і
самі падають.

І, нарешті, найнебезпечніше оману: Кажуть, інтернетівський сервер
можна зробити на базі Windows NT.

Небезпечно це оману тим, що приносить проблем більше, ніж усі
хакерські атаки разом узяті, і гарантує всі ті ж неприємності, що і
від злому системи: втрата працездатності, відмови, зависання, і як
наслідок – гемморое, переінсталяції системи і втрата клієнтів.

Реальні небезпеки для безпеки

У реалізації протоколів TCP / IP є кілька досить неприємних
недоробок, які спричинили за собою дірки в безпеці інтернет-хоста,
причому є серед них і такі, які складно або навіть неможливо закрити
повністю.

Система DNS (визначення IP-адреси по доменному імені комп’ютера)
“Вірить” першому ж відгукнувся на запит нейм-сервера, і її можна
обдурити, підсунувши під виглядом відгуку фальсифікований відповідь. Причому
обдурити можна не тільки окремо взяту-клієнтську машину, але і сервер DNS,
“Нагодувавши” його фальшивими адресами. Обдурений сервер почне передавати
“Фальшиву” інформацію всім своїм клієнтам, що особливо болісно, ​​якщо це
великий провайдерський хост, що обслуговує всіх клієнтів цього провайдера.

Захисту від такого методу атаки немає, і його широко застосовують для підміни
популярних веб-серверів. Якщо ви зустрінете повідомлення про те, що “головний
сторінка сервера ім’ярек замінена сторінкою із закликами (заклики не пропущені
цензурою) “- то 95%, що це зроблено підміною DNS. Єдине кардинальне
лікування цієї діри – переклад всіх DNS-серверів у світі на named версії 8 –
процес досить тривалий і болючий, і кінця йому поки не видно.

До багатьох серверів застосовно ціле сімейство DoS атак (Denial of
Service) – в просторіччі ці методи можна назвати “закидати банановими
шкурками “- коли атакуючий генерує великий потік запитів на сервер, сервер
не встигає їх обробити і забиває свої вхідні черги фальшивками,
реальним ж користувачам в черзі вже не залишається місця. Це може бути і
SYN-атака – забивають приймальню чергу tcp-пакетів на низькому рівні, а
може банальне “задавлювання” веб-сервера великим потоком стандартних
http-запитів.

З точки зору визначень завалювання сервера DoS-атакою або
DNS-підміною не можна назвати зломом в чистому вигляді. Але в тому то й біда, що
для атакованого сайту результат один і той же – що при зломі, що при
завалі, що при банальному відмову унаслідок помилок самого адміністратора:
сервер мовчить, відвідувачі не можуть на нього потрапити, адміністратору –
головний біль і боротьба з несправностями, а начальству – відмивання мундира і
грошові проблеми – гарантовані.

А раз так, то неспеціалістам (тобто переважній більшості) можна не
витрачати час і забивати собі голову вивченням, які типи, види і підвиди
зломів, атак і т.п. існують. Неприємності у всіх випадках виходять
абсолютно ідентичні. Зате, мабуть, варто проклассифицировать причини
відмови системи.

1. Зловмисне зовнішнє втручання. (“Хакер.”)

2. Зловмисне внутрішнє втручання. (“Засланий козачок.”)

3. Ненавмисне внутрішнє головотяпство. (“Акела промахнувся.”)

4. Програмно-апаратна несправність. (“Ламається все.”)

Як легко здогадатися, від “козачка” захиститися неможливо в принципі.
Знизити ймовірність “поломок” можна вклавши гроші в більш дороге і
надійне обладнання. Відмови через помилки обслуговуючого персоналу,
адміністратора, програміста – неминучі і регулярні, ймовірність їх –
найвища, порівняно з усіма іншими бідами.

У світлі перерахованого – боротьба з хакерами стає вже не настільки
актуальною, і покупка дуже надійного, і дуже дорогого файрволла – можливо
вже не здасться вам панацеєю від усіх бід. Звичайно приємно мати в своєму
дачному будиночку сталеву бронебійну двері. Але якщо стіни – з фанери, якщо
вікна – закриті на гачок з дроту, якщо до горища приставлена ​​драбина –
то лиходій все одно проникне в усередину. Так чи не краще замість покупанія
сталевих дверей, купити двері дерев’яну але з хорошим замком, а на
заощаджену суму купити рами з гратами і замок для горища? Возращаясь
від аналогій – заощадивши гроші на файрволл (а ціни на комерційний файрволл
йдуть знаходяться в інтервалі від 10 до 30 тисяч доларів), можна їх вкласти з
більшою (для забезпечення надійності) віддачею – в устаткування, в навчання
співробітників, в підвищену зарплату, на яку можна буде найняти
кваліфікованого адміністратора, що робить менше помилок, ніж
новачок-самоучка.

Найнебезпечніше в інтернеті – не хакери, а спамери

Спамери, що розсилають по всьому світу свої рекламні листи давно не
користуються своїми власними виділеними поштовими серверами. Тому що
їх миттєво засікають і відключають провайдери. А провайдери відключають
спамерів, щоб самим не залишитися в ізоляції, тому, що якщо вони це не
зроблять, то сусіди перестануть приймати від провайдерів-порушників _любую_
пошту. Питається – чому в Москві між деякими адресами не ходить
пошта? (Не буду уточнювати, між ким і ким, щоб не звинуватити невинних – але
користувачі звичайно знають ці непрохідні адреси.) Тому що дехто з
наших провайдерів не в змозі придавити заведши у них спамерів.
Сучасний спамер знаходить чужий поштовий сервер, в якому (за недогляд
системного адміністратора) дозволений relaying (пересилання пошти від “чужих”
адрес на “чужі” адреси). Що дозволяє спамеру послати через цю машину
спам по всьому світу.

Замислимося на секунду – що станеться з машиною, якій доручили
розіслати листи за списком у кілька сотень тисяч адрес. В принципі –
нічого особливо страшного – листи осядуть у черзі (немаленькою) і машина
буде їх потихеньку розсилати – по кілька десятків одноразово і так в
протягом декількох днів. Загрожувати вам це буде – сильної завантаженням
процесора і вихідного інтернетівського каналу, а також – бааальшім рахунком від
провайдера за зарубіжний трафік. Але це тільки початок.

Серед сотень тисяч адрес – відсотків 20 – є застарілими і
недійсними. На кожне недоставлені лист машина отримає лист від
mailer-demona – про недоставку повідомлення. І підуть вони суцільним потоком тисячі
запитів на з’єднання одноразово. Отримуємо класичний DoS – на
SMTP-шний порт звалюється величезна кількість запитів з якими машина
впоратися не встигає. Unix-и зазвичай це переносять з великими труднощами, витрачаючи
ВСІ свої сили на прийом пошти – при цьому припиняючи обслуговувати звичайних
відвідувачів. Windows NT – гарантовано вмирає.

Посилює різницю те, що сучасні версії мережевих Unix – Linux та
FreeBSD за умовчанням ставляться з відключеним relayng’ом, а Windows NT – з
дозволеним.

Сумна історія: один мій знайомий провайдер скаржився, що клієнти,
яких він підключав цього тижня виділеними каналами дістали його
скаргами: “зламалася, не працює пошта, допоможіть”. Всі п’ять клієнтів, як
один. Кожен перед цим вирішив поставити свій власний почовий сервер. На
Windows NT.

Веб-майстер – пильнуй, ворог не дрімає

Не подумайте, що я непослідовний, і закликаю наплювати на
безпека викинути файволли і займатися замість цього
адміністративно-господарськими питаннями. Звичайно ні. І файрволл потрібен, і про
хакерів треба не забувати. Просто треба дивитися на проблему комплексно,
збалансовано розподіляти ресурси, і не забувати про _всех_ вузьких місцях. І
про хакерів – теж.

Нинішній середньостатистичний зломщик – хакером здебільшого
називатися не має права. Це звичайний підліток або недовчений студент,
місця в житті не знайшов. Для більшості виявлених в операційних
системах дір вже написані програми, які самі промацують навколишні
хости, самі визначають у них наявність дірок, самі ламають, самі закидають у
проламав дірку гачки і закладки. Щоб стати “хакером” тепер – досить
наколупав собі цих програм свіжіше, а далі залишається просто їх
запускати і натискати кнопку “Ok”.

Щоб захиститися від таких зломщиків, досить уважно
відслідковувати листи-повідомлення з оповіщеннями про виявлені дірках у своїй
операційній системі і затикати їх _СРАЗУ_. Зазвичай дірки, експлойти для них
і латочки для них же стають відомі практично одночасно, і якщо
не гальмувати і затикати всі в міру виявлення, то на злом цієї діри
хакерам залишиться не так вже багато часу.

Ставте патчі-заплатки

Саме незахищене стан сервера – в момент його інсталяції і
початковій конфігурації. БУДЬ-ЯКА свіжо-проинсталлировать операційна система
має дірки в безпеці – оскільки дистрибутив був надрукований давно, а
secutity-патчі, що з’явилися з тих пір треба ставити додатково.

На час інсталяції операційної системи на інтернет-сервер
ОБОВ’ЯЗКОВО відключіть його від інтернету

Сумна історія: Один мій знайомий конфігур сервер прямо в
інтернеті. Його намацали і зламали відразу – в той короткий проміжок, близько
15 хвилин коли у нього вже був включений IP-роутинг, але ще не були доставлені
патчі. Ніхто за ним спеціально не полював – просто якісь умільці ганяли
в цей час сканує і випадково натрапили на його хост.
Крізь дірку в imap4 йому закинули на машину root-toolkit – ця система
замінює багато звичних юніксовскіе команди на свої версії – з троянцями.
При цьому підміняються комада типу ls (перегляд директорій), ps (перегляд
запущених завдань) і інші, і вони ховають і не показують результати роботи
хакерської програми – тобто зломщик стає “невидимим” для господаря
машини. А хакерська програма тим часом зайнялася скануванням локальної
мережі та підглядання паролів, якими користувачі ходили на сусідні
комп’ютери …

Дефолтна конфігурація свежепроінсталлірованного юнікс-сервера
розрахована для дружньої мережевого середовища. Багато сервісів знаходяться в
відкритому стані (тобто “все можна”) – що зручно в локальній
корпоративної мережі, але абсолютно неприйнятно в мережі загального доступу.

ОБОВ’ЯЗКОВО перевести машину з розслабленого режиму за замовчуванням в
режим суворої безпеки (тобто заборонено все і всі, кому це явне НЕ
дозволено
Це стосується всіх мережевих служб – починаючи з віддаленого логіну та
ftp і закінчуючи принтером і комада talk, finger і т.д.

Весела історія: Коли я виставив свій вже доконфігуренний сервер в
загальний доступ, в перші ж години в його логах записалися спроби віддалених
логінів і паролів підбору з Японії і Польщі.

Ну і як накажете виживати?

Виходить, що хакери бродять натовпами, озброєні
програмами-сканерами, помилятися – не можна, зламати або хоча б завалити –
можуть практично кожного, і немає захисту. Як же жити то тоді?

Дивіться на життя простіше. Наприкінці кнцов – по релаьним вулицями нашого
реального міста ходять хулігани і маніяки, ходять з палицями і пістолетами.
Кожен з нас може слопотать по фізіономії, та й просто зарізати можуть у
підворітті – або в квартирі вікна побити, і ніякого захисту не буде. Чи не
станеш адже ходити все життя в бронежилеті і з двома охоронцями за
спиною. Проте ж живемо, не боїмося – не такий страшний чорт, як його малюють,
нормальних людей – більшість, хуліганів на всіх ніяк не вистачить – нас
рятує принцип “невловимого Джо”. А так само – розумна обережність, і –
грамотні системні адміністратори операційної системи Unix.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*