Чи надійна захист у вашого Internet-провайдера?, CGI, Security & Hack, статті

www.hackerz.ru

Web-серверів стає все більше, і компаніям, довіряє важливу інформацію службі Web-хостингу (надання в оренду Web-сайтів), в Насамперед слід з&#8217;ясувати, які засоби захисту використовує той чи інший Internet-провайдер. Всі ISP (Internet Service Provider) стверджують, що надійно захищають інформацію клієнтів від чужих очей, проте на перевірку вживані заходи безпеки можуть виявитися не настільки надійними, а цінний інформація на корпоративних Web-вузлах стає надбанням хакерів. Хто краще за інших зможе вистежити і зловити хакера? Такий же хакер. Так вирішив один Internet-провайдер, що надає в оренду Web-вузли, називати якого ми не станемо. І тоді він запросив хакерів, відомих під кличками Мадж і Велд, з бостонської групи l0pht, щоб проаналізувати випадок незаконного вторгнення. Ця парочка з&#8217;ясувала таке. Якийсь зловмисник виявив, що в одній з компаній, що входять в список Fortune 1000, яка була клієнтом даного ISP, установки за замовчуванням виявилися погано сконфігурованими. Чим він і скористався, заклавши &#8220;пастку&#8221; в Web-сервер. Нападник простежив дії системного адміністратора компанії-жертви, коли той входив на Web-сервер, щоб перевірити деякі файли. Занадто поспішаючи повернутися в корпоративну локальну мережу, він не скористався &#8220;Logoff&#8221;, а набрав свій пароль, виконавши, таким чином, &#8220;дірку&#8221; в брандмауері. За допомогою загальнодоступної програми-&#8220;нюхачі&#8221;, яка вважала пароль адміністратора і його ідентифікаційний номер, зловмисник забезпечив собі електронну ідентичність з адміністратором, а потім пройшов його шляхом до головного сервера корпорацій.<br /> Неясно, що саме було метою хакера &#8211; вкрасти вихідні коди, що виконується модуль програми або просто відчути радість перемоги. Очевидно лише, що його дії &#8211; найпростіший сценарій, користуючись яким, можна обійти брандмауери та інші засоби захисту ISP, щоб завдати шкоди їх клієнтам. Так вважає Мадж, який разом з Велде та іншими членами групи l0pht поставив свій досвід хакерства на службу дослідженню та тестуванню систем. &#8220;Більшість великих Internet-провайдерів, що надають бізнес-служби, стверджують, що вони уважно ставляться до питань захисту, проте в основному це тільки слова, &#8211; стверджує Мадж. &#8211; Ми провели аудит дуже великої компанії, що спеціалізується в області Internet-служб, і виявили, що захист в ній відсутня. Були незакриті &#8220;дірки&#8221; і в операційній системі. Була відсутня фільтрація. Оскільки цей ISP, забезпечує обслуговування спільно використовуваних серверів, дозволяв користувачам входити в систему без шифрування, ми змогли зламати з&#8217;єднання і отримати контроль над комп&#8217;ютерами &#8220;. Кредо хакера: інформація &#8211; це сила. Якщо компанія зберігає будь цінні відомості на Web-серверах, розташованих у Internet-провайдера або в центрі Web-хостингу, слід дуже ретельно вивчити, яка політика безпеки відповідного ISP. Навіть якщо інформація на Web-сервері не представляє великої цінності, потрібно враховувати: в результаті дій хакерів можливі відмову в обслуговуванні, у підтримці Web-сторінок, а також прорив зловмисника до того, що Мадж і його колеги називають &#8220;найбільшою смачною начинкою &#8220;, &#8211; до центру локальної мережі. Небезпека завжди поруч Все більше компаній перекладають турботу щодо забезпечення своїх потреб з підтримки торгівлі через Internet на плечі бізнес-служб Internet-провайдерів або центрів обслуговування Web-хостингу. Сервери, знаходяться за межами служб Web-хостингу, стали найбільш привабливими мішенями для пролазливих хакерів, які вивуджують інформацію до тих пір, поки не знайдуть лазівку. І така найчастіше виявляється в неправильно сконфигурированном брандмауері або маршрутизаторі. Що роблять зловмисники, пробравшись в комп&#8217;ютер, залежить від архітектури мережі. І тут найбільш уразливими виявляються структури, в яких сервери використовуються спільно кількома компаніями. За словами Велда, в такому випадку, вломилися в якій-небудь комп&#8217;ютер, ви відразу ж &#8220;отримуєте&#8221; всіх клієнтів. Дізнавшись імена і паролі користувачів, хакери за допомогою засобів злому перевіряють їх по &#8220;словником&#8221; відомих паролів, виявляючи певні відповідності використовують для присвоєння прав адміністратора. Джон Хенкінс, директор служб Web-хостингу компанії GTE, вважає найкращим способом захисту спільно використовуваного сервера установку комутатора на кожному його порте. Тоді кожному підприємству-клієнту стає доступною лише частина смуги пропускання загального каналу, що може запобігти захопленню паролів користувачів. Така практика, якої дотримується і компанія GTE. Ще краще &#8211; застосовувати комутатори, що забезпечують фільтрацію, т. е. строгий контроль за трафіком між комп&#8217;ютерами і з&#8217;єднаннями. Однак вартість фільтруючих комутаторів становить 400-500 дол., нефільтруючих &#8211; Близько 100 дол., А спеціальних мережевих процедур &#8211; якісь центи, тому багато дрібних Internet-провайдери не використовують фільтруючі комутатори. &#8220;GTE говорить про 32 портах на один концентратор, що означає великі гроші, &#8211; пояснює один з хакерів-аудиторів. &#8211; Не варто розраховувати на те, що ваш провайдер не захоче зекономити &#8220;. Інформаційна фірма OneSourse з обігом 10 млн дол. вважає ці витрати необхідними і виправданими. Зараз вона займається перенесенням свого надбання &#8211; стратегічної інформації, призначеної для продажу діловим і фінансовим клієнтам типу Bank of America і Oracle, &#8211; на 20 виділених серверів, які буде обслуговувати компанія GTE. &#8220;Наші дослідження показали, що багато Internet-провайдери мають брандмауери, і нічого крім них &#8220;, &#8211; пояснює Марк Ван Дайн, віце-президент з технологічного оснащення OneSource. Майже всі вони мають досить туманне уявлення про атаки, яким піддавалися, і стверджують, що їм нічого не відомо про дійсні вторгненнях в їх мережі. Саме цього і домагаються нападники. &#8220;Хороші хакери діють на чужих машинах, не видаючи себе &#8220;, &#8211; стверджує Йобі Бенджамін, головний директор по базах знань консалтингової компанії<br /> Cambridge Technology Partners. Хоча відчуття захищеності оманливе, клієнти ISP на ділі стурбовані дещо іншими проблемами, які можна спостерігати візуально (наприклад, зловмисним пошкодженням Web-сторінок або заміною їх вмісту на порнографічне, расистське та ін.) Роб Тобіас, Web-майстер і директор по маркетингу компанії Mixman Technologies, що займається продажем через Internet музичних компакт-дисків на двох спільно використовуваних серверах, які обслуговуються фірмою Best Internet, вважає великою неприємністю вторгнення на відкритий сервер компанії і навмисне перекручування Web-сторінок. У подібних випадках хакери отримують доступ до функцій читання / запису, використовуючи пароль клієнта. Маленькі секрети В минулому році піддалися змінам сотні Web-сторінок, причому в деяких випадках це викликало різкі відгуки в пресі. Наприклад: на сторінці ЦРУ назва управління було змінено на Central Stupidity Agency (Центральне агентство дурості), а її зв&#8217;язки були переадресовані на адресну сторінку журналу Playboy; компанії CyberPromotions сильно дісталося за її прихильність до великого кількістю &#8220;рекламного сміття&#8221;; на конференції Defcon хакери помістили карикатури на кіностраніце Hackers компанії MGM / UA. Ще один тип неприємних атак називається &#8220;відмова в обслуговуванні&#8221;. В цьому випадку нападники завантажують сервери або маршрутизатори занадто великим кількістю запитів на виконання (так зване PING-заповнення). І тоді в якийсь момент сервери зупиняються і припиняють обслуговувати клієнтів, що може дорого обійтися таким фірмам, як Mixman, яка щомісячно продає компакт-дисків в середньому на 750 тис. дол. У червні 1997 р. Web-сторінка компанії Microsoft стала жертвою кілька модифікованої атаки типу &#8220;відмова в обслуговуванні&#8221;. Хакери використовували &#8220;Дірку&#8221; в її сервері Internet Information Server і зациклилися Web-вузол. В результаті, служба Microsoft не працювала протягом кількох днів &#8211; поки не була створена &#8220;латка&#8221;. (Зауважимо, що Microsoft публічно оголосила, що служба була недоступна для клієнтів всього близько 10 хв, поки сервер зупиняли і перезавантажували). За результатами неофіційного аналізу, проведеного хакером se7en, в 1997 р. були успішно атаковані близько 360 Web-сайтів. Багатьох інцидентів можна було б уникнути при використанні нових додатків для моніторингу, званих засобами виявлення вторгнень. Правильно сконфигурированное засіб здатний ідентифікувати атаки різного типу (PING-заповнення, &#8220;Відмова в обслуговуванні&#8221;, вторгнення в мережу, перехоплення паролів і т. д.) і попереджати про них адміністратора. До числа провідних виробників засобів детектування вторгнень відносяться Internet Security Systems (Http://www.iss.net), Axent Technologies (http://www.axent.com) і<br /> WheelGroup (http://www.wheelgroup.com). &#8220;Не існує стовідсотково безпечного середовища, &#8211; стверджує Девід Вандернаалт, директор служб кінцевих користувачів асоціації International Computer Security Association, &#8211; тому Internet-провайдери повинні бути напоготові, очікуючи атак. І саме тому так важливі засоби виявлення вторгнення &#8220;. На жаль, ISP та служби хостингу непослідовні у вирішенні проблем, пов&#8217;язаних з вторгненнями. Компанія GTE, наприклад, здійснює моніторинг своєї мережі і виявляє незвичайну активність за допомогою додатків власної розробки, зупиняючи атаки на вході в мережу. Internet-провайдер Best Internet Communications не використовує ніяких засобів моніторингу &#8211; в цієї компанії покладаються на адміністраторів, які повинні регулярно перевіряти log-файли системи. Більшість компаній розсилають свої дані по Internet, використовуючи стандартний протокол FTP, який хакери Мадж і Велд вважають небезпечним і незграбним. &#8220;Протокол FTP був написаний як швидкий&#8221; Клюг &#8220;(хитрий програмний трюк) ще в ті дні, коли в мережах налічувалося не більше 10 машин &#8220;, &#8211; говорить Велд. В цілях безпеки Мадж пропонує обрати менш наїжджену дорогу і застосовувати не FTP, а Secure Copy Protocol, який є частиною мережного протоколу Secure Shell (http://www.ssh.net). Можна також використовувати протокол HTTP, підтримує шифрування за стандарту Secure Sockets Layer (SSL). Поцікавтеся у свого провайдера або служби хостингу, забезпечуються такі можливості. Нові послуги, нові слабкі місця Галузеві експерти пророкують в поточному році помітне зростання торгівлі через Internet. Так, аналітики IDC вважають, що до 2001 р. її обсяг складе більше 200 млрд дол. При цьому в повний зріст постане проблема безпеки, оскільки кожен учасник угоди повинен мати гарантії захисту кредитної інформації та конфіденційності. Два роки тому компанія Best була одним з небагатьох локальних провайдерів служби електронної комерції, інфраструктура якої дозволяла обробляти угоди в режимі реального часу. Ось чому вибір фірми Mixman ліг саме на неї. Слід особливо відзначити, що для шифрування вихідної інформації про угоди використовувався сервер захисту SSL, який був безпосередньо пов&#8217;язаний з CyberCash, що забезпечує обробку кредитних карток. Тобіас впевнений, що завдяки двухсерверной схемою, реалізованої в компанії Best, важлива кредитна інформація не потрапить у чужі руки. Один сервер містить відомості про продукт і форми, а інший збирає зашифровані SSL-дані про кредитні картки і пересилає їх в CyberCash. На думку Тобіаса, до другого сервера зможуть дістатися лише уповноважені адміністратори компанії Best. В даний час більшість ISP пропонують своїм клієнтам скористатися протоколом SSL, який шифрує угоди на виході з сервера. Однак, за оцінкою Марка Каллімора, директора компанії Visa по електронним банківським службам, у більшості торговців на кожен зароблений ними долар доводиться долар фіктивних платежів. Тому до шифруванню необхідно додати ще й кошти підтвердження ідентифікації, що з&#8217;явилися в 1997 р. у формі цифрового підпису. Компанії Visa, MasterCard та інші просувають стандарт Secure Electronic Transactions, підтримує цифрові підписи. Суміш протоколів Для захисту передачі повідомлень електронної пошти та реалізації угод через Internet існують і інші стандарти. Так, на січневій конференції RSA Data Security Conference більше 30 виробників запропонували свої рішення проблем взаємодії різних платформ, оголосили про співпрацю з іншими виробниками і анонсували цілий потік нових стандартів. Безумовно, всі ці новинки ще більше ускладнили вирішення зазначених проблем. Справа в тому, що нові протоколи та партнерські угоди спрямовані в основному на забезпечення захисту окремих передач по провідних лініях, в той час як інформація, що представляє собою реальну цінність, залишається на сервері, по суті, незахищеною. Фахівці банківської галузі вважають, що якщо при передачі по Internet захоплена інформація лише однієї з беруть участь в угоді сторін, до катастрофи ще далеко. Адже метою нападу є проникнення в базу даних, де компанії-продавці зберігають цілі набори відомостей про кредитні картках. Влітку минулого року при спробі продажу агентам більше 100 тис. номерів кредитних карток ФБР заарештувало 36-річного Карлоса Феліпе Салдаго на прізвисько Смек. Він &#8220;винюхувати&#8221; ці номери на серверах не встановленого в ході розслідування провайдера з Сан-Дієго, а також в базах даних, підключених до Internet. Багатьох проблем можна уникнути, належним чином налаштовано мережу, проводячи регулярні тестування, перевірки та виявляючи випадки вторгнення. Однак важливо пам&#8217;ятати, що Internet-провайдери та служби хостингу повинні підтримувати розумний баланс між захистом і доступністю інформації. Введення дуже жорсткого захисту сповільнить трафік і збільшить час реакції клієнта. Занадто слабкий захист зробить атаку неминучою. Часто загрозою безпеки є людські помилки, над якими не владні ні ISP, ні служби хостингу, а також вибір пароля, що збігається з реєстраційним ім&#8217;ям клієнта. &#8220;Чи існує чарівне правило забезпечення безпеки? &#8211; Посміюється Велд, що перетворився з хакера в експерта із захисту. &#8211; Так, це правило &#8211; покладатися на здоровий глузд &#8220;. Дебора Редкліфф (Deborah Radcliff) &#8211; незалежна письменниця, яка проживає в Північній Каліфорнії. З нею можна зв&#8217;язатися за адресою DeRad@aol.com.<br /> Ключові питання Оскільки Internet-провайдери, що надають послуги бізнес-хостингу, стикаються з одними і тими ж проблемами захисту інформації, галузева група NCSA (National Center for Supercomputing Applications) розробляє пропозиції по структурі засобів захисту, які будуть передані всім ISP. Крім того, групи Internet Engineering Task Force (IETF) і Computer Emergency Response Team Університету Карнегі Меллон розробляють детальну документацію. Очолює роботу Том Кіллалеа, менеджер по розробці компанії-провайдера NorthWest Net. Кіллалеа і Скотт Маркл, менеджер консорціуму із захисту ISP асоціації International Computer Security Association, вважають, що компанії, займаються електронною комерцією, повинні перш за все сформулювати власну політику і цілі в галузі безпеки, а вже потім переводити свої додатки Internet-торгівлі та Web-сервери у відання служб ISP. Кіллалеа і Маркл розробили питання, які слід задавати передбачуваному провайдеру. Чи проводить він перевірки захисту? Якщо так, то які їхні результати? Як відокремлені один від одного підприємства на спільно використовуваних серверах? (На думку Кіллалеа, багато ISP навіть не намагаються ввести такий поділ.) Яка конфігурація мережі? Де знаходяться брандмауери? Чи можна встановити другий брандмауер на вході? Які типи шифрування і аутентифікації підтримуються? Чи забезпечується безперервне резервне копіювання з надмірністю для запобігання непередбачених ситуацій? Які типи встановлених фізичних засобів захисту? Як захищені інформаційні центри? Чи мають вони надійну охорону? Деякі випадки порушення захисту в 1997 р. Неправильні дії адміністратора локальної мережі компанії AT &#038; T привели до встановлення в ній програми-аналізатора пакетів, яка зчитувала паролі клієнтів. 16-річний підліток з Броквилл (шт. Онтаріо) викрав 1300 ідентифікаційних номерів та паролів користувачів у місцевого Internet-провайдера RipNet і передав їх чотирьом своїм шкільним приятелям. Почав циркулювати вірус AOL4FREE.COM типу &#8220;троянського коня&#8221;, стирає файли користувачів. Внаслідок атак хакерів протягом двох тижнів сім разів припинявся доступ в мережу Zip Internet. Джерело: Infosec Review Аудит і тестування Регулярні перевірки захисту є найбільш важливим компонентом будь системи безпеки. Такі перевірки включають в себе тестування всієї мережі на предмет звичайних атак, пошук помилок в конфігурації і додаткові перевірки в міру введення нового ПЗ та програмних латочок. Однак, як вважають консультанти і аналітики, так діє тільки ряд великих Internet-провайдерів, що володіють магістральними каналами та бізнес-службами. Хакери з бостонської групи l0pht перевірили за цією методикою кілька ISP. А недавно асоціація International Computer Security Association (ICSA) випустила свою власну службу тестування Internet-провайдерів. Ще одна додаткова служба асоціації ICSA &#8211; тестування самого Web-сайту. Таке тестування може стати дуже корисним, оскільки навіть найтурботливіші Internet-провайдери та служби хостингу виявляться абсолютно незахищеними, якщо клієнт розмістить на своїх серверах погані програми. Якщо при виборі служби Web-хостингу вашою головною турботою є безпека, краще всього звернутися до великої компанії. Скотт Маркл, один з керівників асоціації ICSA, вважає, що великі ISP, що володіють магістральними каналами і мають відділи безпеки, забезпечують набагато більш надійний захист, ніж дрібні Internet-провайдери, не мають спеціальних відділів безпеки.<br />

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*