Технологии прорыва
Пестрый поток гостей Лувра обычно не задерживается у этого стенда: посетителей чаще влекут более броские экспонаты, чем старая золотая монета, потемневшая почти до черноты. Потертый профиль и грубая чеканка, неразборчивая латиница букв по краю… Толстое стекло витрины скрадывает детали и фигура в центре монеты более похожа на рогатого жука–оленя, чем на венценосную особу римского императора.
Пестрый поток гостей Лувра обычно не задерживается у этого стенда: посетителей чаще влекут более броские экспонаты, чем старая золотая монета, потемневшая почти до черноты. Потертый профиль и грубая чеканка, неразборчивая латиница букв по краю… Толстое стекло витрины скрадывает детали и фигура в центре монеты более похожа на рогатого жука–оленя, чем на венценосную особу римского императора.
Монета отчеканена в годы соправления Валентиниана III и Маркиана, - ненавязчиво подсказывает надпись. И лишь пристальному взгляду откроется, что чеканный император попирает ногами змея. Вот уже более полутора тысяч лет аверс монеты хранит память о ликовании римлян после победы на Каталаунских полях – Атилла «бич божий», вождь гуннов, был повержен.
Атилла был неудобным противником для римлян: лобовым ударам он предпочитал фланговые охваты; схваткам щит в щит – обстрелы с безопасной дистанции; длительной позиционной войне – молниеносный налет и стратегическое отступление с захваченной добычей. Римская империя, обладавшая мощнейшим военным потенциалом среди государств того времени, была для гуннов легкой добычей. Атилла воевал не по правилам.
Прошло полторы тысячи лет, но уверенность, что противник будет действовать по неким «правилам», до сих пор смущает немало умов. Корпоративные сети хранят не меньше ценностей, чем древние города. А арсенал идейных наследников гуннов, искренне возводящих грабеж в ранг искусства, весьма разнообразен. И лучший способ им подыграть - это уверить себя и остальных в непревзойденной надежности «штатных средств», в том, что информация и компьютерные системы абсолютно защищены. В 452 году от Р.Х. жители Италии тоже верили в надежность крепостных стен. Некоторым из них повезло – гунны просто не успели добраться до их городов.
Сканер как оружие
Первая заповедь специалиста, отвечающего за стратегию сетевой безопасности компьютерных сетей, должна быть сформулирована примерно так: «любая защита имеет брешь». Надо лишь суметь обнаружить ее ранее злоумышленников, а надежность защиты проверяется лишь одним способом — нападением.
Инструментом, позволяющим отчасти автоматизировать и ускорить процедуру поиска уязвимости сетевых компьютерных систем, является сканер безопасности, программный или аппаратный. Исследуя выбранную систему, он пытается определить доступные сетевые сервисы. При определении типа и версии сервиса сканер с применением всех известных на данный момент методик совершает настоящую сетевую атаку, нацеленную на специфичную для данного сервиса уязвимость. Нет только завершающего аккорда — взлома системы. Тем не менее, подобное исследование нередко способно вызвать сбои в работе исследуемого объекта.
По результатам сканирования системы строится отчет с описанием обнаруженных явно или потенциально уязвимых сервисов, анализом уязвимости и рекомендациями по устранению. Ряд сканеров предоставляет возможность самостоятельно разрабатывать новые сценарии обнаружения и атаки уязвимости, предоставляя для этого специальный интерфейс.
Следует отметить, что, хотя это и маловероятно, возможны случаи ложного срабатывания, когда сканер сообщает об обнаруженной уязвимости, которой на самом деле не существует. Также вполне допустима и обратная ситуация. Сканер безопасности не является панацеей. В любом случае, для анализа отчета и исправления уязвимостей требуется компетентный специалист. Сканер безопасности лишь облегчает его задачу.
В качестве примера сканеров безопасности можно привести Retina Network Security Scanner, Nessus, GFI LANguard и продукт отечественных разработчиков - XSpider.
На практике необходимо учитывать побочные аспекты работы данных программ, а именно: нагрузку на сеть (некоторые тесты, типа DOS атак, создают значительный трафик) и нагрузку на исследуемую систему, из-за которой возможны сбои в работе или даже «зависание».
Полагаю, этот факт следует учитывать, планируя тестирование. Для снижения вероятности сбоя систем в рабочее время, можно с помощью планировщиков назначать сканирование сети в ночные часы.
Борьба с утечками
Следует понимать, что даже превосходно защищенная от нападения извне система весьма часто оказывается легко уязвимой для взлома изнутри. Инициировать атаку может сам пользователь, даже и не догадываясь об этом. Ему достаточно лишь запустить некую программу, скринсейвер или обновление, либо открыть картинку, документ MS Office, видеофайл, принесенные коллегой, скачанные из Интернета либо присланные «доверенным» адресатом по электронной почте и т.д., и т.п.: список путей заражения бесконечен. Защита не может считаться полной, если в ней не учитывается непредсказуемость человеческого фактора. Поэтому тестировать сканерами вторжения необходимо не только «внешние» сети, к которым есть доступ из Интернета или иных публичных сетей, но и внутренние, в которых работают «свои» пользователи. И поскольку, вопрос поиска и локализации уязвимости сетевых сервисов, полагаю, уже был достаточно освещен, перейдем к следующей теме «внутренней» сетевой безопасности, а именно к определению возможности несанкционированной утечки информации с пользовательского компьютера. Данный анализ можно провести с помощью специализированных утилит, называемых «тестами утечки» (leak test). Цель подобных программ одна: обойти систему защиты и сделать несанкционированный «сброс» информации в Интернет. Если тест проходит удачно, значит, с данного компьютера возможна утечка данных. В качестве иллюстрации можно привести Atelier Web Firewall Tester (AWFT), PCFlank Leaktest и Comodo HIPS and Firewall Leak Test Suite.
Принципы действия тестов утечки можно разделить на три основные категории:
• незамаскированная передача данных;
• скрытое использование различных «доверенных» сетевых программ, с которыми обычно работают пользователи (по числу атакуемых лидирует MS Internet Explorer);
• проникновение каким-либо образом в адресное пространство исполняемой «доверенной» программы.
Последнюю методику проиллюстрируем более подробно, поскольку именно она активно эксплуатируется в сетевых вирусах. В адресное пространство доверенного процесса внедряется сторонний код, или в сам процесс может быть внедрена сторонняя DLL-библиотека. В результате этого внедренный код начинает исполняться на правах взломанного процесса, получая, в частности, доступ в Интернет. Разыскивая выход в Интернет, тест утечки может последовательно поражать различные процессы. Довольно забавно бывает наблюдать, к примеру, как драйвер клавиатуры или блокнот пытаются устанавливать сетевые соединения.
На этом арсенал «вражеских» приемов не исчерпывается. Один из них, например, реализует возможность отсрочки сброса информации до наступления некого благоприятного момента. Если пользовательский брандмауэр настроен на полное блокирование сетевой активности, тест, запустившись, поражает выбранный процесс. После «ожидает», когда блокировка будет снята. Когда доступ в Интернет открывается, тест выполняет свое задание. В результате брандмауэр способен лишь временно блокировать утечку.
К чести разработчиков данных тестов следует отметить, что весьма часто их программы дают положительный результат, что в очередной раз подтверждает прописную истину: защита должна быть комплексной. Она должна содержать средства общесетевой и персональной пользовательской защиты, а также административные ограничения, накладываемые на каждого пользователя в отдельности.
Анализ трафика
Следующий способ, которым нападающий может извлечь информацию об атакуемой сети, это анализ сетевого трафика.
В практике был случай, когда к сети региональной ISP-компании подключили банкомат некоего весьма крупного банка. Для связи банкомата с центральным процессинговым центром через Интернет был организован IPVPN-канал. При плановом анализе сетевого трафика администратором ISP было обнаружено, что сетевой роутер банкомата периодически рассылает широковещательный запрос на получение новой конфигурации из внешнего источника. Полагаю, не нужно быть специалистом в области настройки сетевых устройств, что бы понять, насколько эта возможность была интересна для совершения действий, однозначно классифицируемых уголовным кодексом. В том случае занятнее всего повели себя IT-специалисты банка. Понадобилось пройти несколько инстанций, и прошло две недели, прежде чем удалось убедить IT-департамент в том, что сетевой маршрутизатор банкомата настроен некорректно. Еще неделя ушла на исправление.
Базовый анализ трафика можно провести с помощью программ Tcpdump и Wireshark (ранее — Ethereal). Они предоставляют возможность исследования трафика на низком уровне. Но для целевой проверки возможности перехвата конфиденциальной информации удобнее использовать Tcpflow и Сain&Abel. Первая утилита перехватывает и сохраняет все данные, передаваемые по TCP-протоколам (например, электронные письма со всеми вложенными файлами), а среди многих функций второй – извлечение паролей на доступ к сетевым сервисам. Уязвимость же VoIP-соединений хорошо демонстрируют утилиты типа UCSniff, позволяющие перехватывать и прослушивать переговоры.
В завершение статьи отмечу, что при поиске уязвимости сети не малую роль играют не только инструменты, но и опыт специалистов, их применяющих. Все сигналы и отчеты будут бесполезны, если нет человека, способного их правильно понять.
Врезка
В 451 году вторжение гуннов под предводительством Атиллы в Галлию было остановлено римским полководцем Флавием Аэцием на Каталаунских полях. Против гуннов вместе с римлянами также выступили варварские племена галлов, аланов и вестготов. Сражение на Каталаунских полях принято считать одним из важнейших в истории Европы: якобы Западная Европа была спасена от Атиллы. В оперативном плане сражение закончилось вничью. Обе стороны понесли тяжелые потери, но решительной победы никто одержать не смог. После двухдневного сражения гунны отступили в свой лагерь. Преследования не было.
Стратегических результатов сражение не дало. Сохранив армию, Атилла отступил в свои земли, а на следующий год предпринял новый поход против Римской империи. Гунны вторглись в Италию и разорили несколько городов. Атилла отступил, лишь когда на разоренной им местности начались голод и чума, а глава католической церкви папа Лев I заплатил выкуп. Есть свидетельства в пользу того, что в 453 году Атилла собирался снова вторгнуться в пределы Римской империи, но еще до начала кампании он неожиданно умер во время собственной свадьбы с германской царевной Ильдикой. Через год наемные убийцы, посланные императором Рима Валентинианом III, убили Аэция. Менее чем через год император Валентиниан III был убит одним из телохранителей Аэция по имени Оптилла, по-видимому, гунном.
Текст: Александр Красоткин
Монета отчеканена в годы соправления Валентиниана III и Маркиана, - ненавязчиво подсказывает надпись. И лишь пристальному взгляду откроется, что чеканный император попирает ногами змея. Вот уже более полутора тысяч лет аверс монеты хранит память о ликовании римлян после победы на Каталаунских полях – Атилла «бич божий», вождь гуннов, был повержен.
Атилла был неудобным противником для римлян: лобовым ударам он предпочитал фланговые охваты; схваткам щит в щит – обстрелы с безопасной дистанции; длительной позиционной войне – молниеносный налет и стратегическое отступление с захваченной добычей. Римская империя, обладавшая мощнейшим военным потенциалом среди государств того времени, была для гуннов легкой добычей. Атилла воевал не по правилам.
Прошло полторы тысячи лет, но уверенность, что противник будет действовать по неким «правилам», до сих пор смущает немало умов. Корпоративные сети хранят не меньше ценностей, чем древние города. А арсенал идейных наследников гуннов, искренне возводящих грабеж в ранг искусства, весьма разнообразен. И лучший способ им подыграть - это уверить себя и остальных в непревзойденной надежности «штатных средств», в том, что информация и компьютерные системы абсолютно защищены. В 452 году от Р.Х. жители Италии тоже верили в надежность крепостных стен. Некоторым из них повезло – гунны просто не успели добраться до их городов.
Сканер как оружие
Первая заповедь специалиста, отвечающего за стратегию сетевой безопасности компьютерных сетей, должна быть сформулирована примерно так: «любая защита имеет брешь». Надо лишь суметь обнаружить ее ранее злоумышленников, а надежность защиты проверяется лишь одним способом — нападением.
Инструментом, позволяющим отчасти автоматизировать и ускорить процедуру поиска уязвимости сетевых компьютерных систем, является сканер безопасности, программный или аппаратный. Исследуя выбранную систему, он пытается определить доступные сетевые сервисы. При определении типа и версии сервиса сканер с применением всех известных на данный момент методик совершает настоящую сетевую атаку, нацеленную на специфичную для данного сервиса уязвимость. Нет только завершающего аккорда — взлома системы. Тем не менее, подобное исследование нередко способно вызвать сбои в работе исследуемого объекта.
По результатам сканирования системы строится отчет с описанием обнаруженных явно или потенциально уязвимых сервисов, анализом уязвимости и рекомендациями по устранению. Ряд сканеров предоставляет возможность самостоятельно разрабатывать новые сценарии обнаружения и атаки уязвимости, предоставляя для этого специальный интерфейс.
Следует отметить, что, хотя это и маловероятно, возможны случаи ложного срабатывания, когда сканер сообщает об обнаруженной уязвимости, которой на самом деле не существует. Также вполне допустима и обратная ситуация. Сканер безопасности не является панацеей. В любом случае, для анализа отчета и исправления уязвимостей требуется компетентный специалист. Сканер безопасности лишь облегчает его задачу.
В качестве примера сканеров безопасности можно привести Retina Network Security Scanner, Nessus, GFI LANguard и продукт отечественных разработчиков - XSpider.
На практике необходимо учитывать побочные аспекты работы данных программ, а именно: нагрузку на сеть (некоторые тесты, типа DOS атак, создают значительный трафик) и нагрузку на исследуемую систему, из-за которой возможны сбои в работе или даже «зависание».
Полагаю, этот факт следует учитывать, планируя тестирование. Для снижения вероятности сбоя систем в рабочее время, можно с помощью планировщиков назначать сканирование сети в ночные часы.
Борьба с утечками
Следует понимать, что даже превосходно защищенная от нападения извне система весьма часто оказывается легко уязвимой для взлома изнутри. Инициировать атаку может сам пользователь, даже и не догадываясь об этом. Ему достаточно лишь запустить некую программу, скринсейвер или обновление, либо открыть картинку, документ MS Office, видеофайл, принесенные коллегой, скачанные из Интернета либо присланные «доверенным» адресатом по электронной почте и т.д., и т.п.: список путей заражения бесконечен. Защита не может считаться полной, если в ней не учитывается непредсказуемость человеческого фактора. Поэтому тестировать сканерами вторжения необходимо не только «внешние» сети, к которым есть доступ из Интернета или иных публичных сетей, но и внутренние, в которых работают «свои» пользователи. И поскольку, вопрос поиска и локализации уязвимости сетевых сервисов, полагаю, уже был достаточно освещен, перейдем к следующей теме «внутренней» сетевой безопасности, а именно к определению возможности несанкционированной утечки информации с пользовательского компьютера. Данный анализ можно провести с помощью специализированных утилит, называемых «тестами утечки» (leak test). Цель подобных программ одна: обойти систему защиты и сделать несанкционированный «сброс» информации в Интернет. Если тест проходит удачно, значит, с данного компьютера возможна утечка данных. В качестве иллюстрации можно привести Atelier Web Firewall Tester (AWFT), PCFlank Leaktest и Comodo HIPS and Firewall Leak Test Suite.
Принципы действия тестов утечки можно разделить на три основные категории:
• незамаскированная передача данных;
• скрытое использование различных «доверенных» сетевых программ, с которыми обычно работают пользователи (по числу атакуемых лидирует MS Internet Explorer);
• проникновение каким-либо образом в адресное пространство исполняемой «доверенной» программы.
Последнюю методику проиллюстрируем более подробно, поскольку именно она активно эксплуатируется в сетевых вирусах. В адресное пространство доверенного процесса внедряется сторонний код, или в сам процесс может быть внедрена сторонняя DLL-библиотека. В результате этого внедренный код начинает исполняться на правах взломанного процесса, получая, в частности, доступ в Интернет. Разыскивая выход в Интернет, тест утечки может последовательно поражать различные процессы. Довольно забавно бывает наблюдать, к примеру, как драйвер клавиатуры или блокнот пытаются устанавливать сетевые соединения.
На этом арсенал «вражеских» приемов не исчерпывается. Один из них, например, реализует возможность отсрочки сброса информации до наступления некого благоприятного момента. Если пользовательский брандмауэр настроен на полное блокирование сетевой активности, тест, запустившись, поражает выбранный процесс. После «ожидает», когда блокировка будет снята. Когда доступ в Интернет открывается, тест выполняет свое задание. В результате брандмауэр способен лишь временно блокировать утечку.
К чести разработчиков данных тестов следует отметить, что весьма часто их программы дают положительный результат, что в очередной раз подтверждает прописную истину: защита должна быть комплексной. Она должна содержать средства общесетевой и персональной пользовательской защиты, а также административные ограничения, накладываемые на каждого пользователя в отдельности.
Анализ трафика
Следующий способ, которым нападающий может извлечь информацию об атакуемой сети, это анализ сетевого трафика.
В практике был случай, когда к сети региональной ISP-компании подключили банкомат некоего весьма крупного банка. Для связи банкомата с центральным процессинговым центром через Интернет был организован IPVPN-канал. При плановом анализе сетевого трафика администратором ISP было обнаружено, что сетевой роутер банкомата периодически рассылает широковещательный запрос на получение новой конфигурации из внешнего источника. Полагаю, не нужно быть специалистом в области настройки сетевых устройств, что бы понять, насколько эта возможность была интересна для совершения действий, однозначно классифицируемых уголовным кодексом. В том случае занятнее всего повели себя IT-специалисты банка. Понадобилось пройти несколько инстанций, и прошло две недели, прежде чем удалось убедить IT-департамент в том, что сетевой маршрутизатор банкомата настроен некорректно. Еще неделя ушла на исправление.
Базовый анализ трафика можно провести с помощью программ Tcpdump и Wireshark (ранее — Ethereal). Они предоставляют возможность исследования трафика на низком уровне. Но для целевой проверки возможности перехвата конфиденциальной информации удобнее использовать Tcpflow и Сain&Abel. Первая утилита перехватывает и сохраняет все данные, передаваемые по TCP-протоколам (например, электронные письма со всеми вложенными файлами), а среди многих функций второй – извлечение паролей на доступ к сетевым сервисам. Уязвимость же VoIP-соединений хорошо демонстрируют утилиты типа UCSniff, позволяющие перехватывать и прослушивать переговоры.
В завершение статьи отмечу, что при поиске уязвимости сети не малую роль играют не только инструменты, но и опыт специалистов, их применяющих. Все сигналы и отчеты будут бесполезны, если нет человека, способного их правильно понять.
Врезка
В 451 году вторжение гуннов под предводительством Атиллы в Галлию было остановлено римским полководцем Флавием Аэцием на Каталаунских полях. Против гуннов вместе с римлянами также выступили варварские племена галлов, аланов и вестготов. Сражение на Каталаунских полях принято считать одним из важнейших в истории Европы: якобы Западная Европа была спасена от Атиллы. В оперативном плане сражение закончилось вничью. Обе стороны понесли тяжелые потери, но решительной победы никто одержать не смог. После двухдневного сражения гунны отступили в свой лагерь. Преследования не было.
Стратегических результатов сражение не дало. Сохранив армию, Атилла отступил в свои земли, а на следующий год предпринял новый поход против Римской империи. Гунны вторглись в Италию и разорили несколько городов. Атилла отступил, лишь когда на разоренной им местности начались голод и чума, а глава католической церкви папа Лев I заплатил выкуп. Есть свидетельства в пользу того, что в 453 году Атилла собирался снова вторгнуться в пределы Римской империи, но еще до начала кампании он неожиданно умер во время собственной свадьбы с германской царевной Ильдикой. Через год наемные убийцы, посланные императором Рима Валентинианом III, убили Аэция. Менее чем через год император Валентиниан III был убит одним из телохранителей Аэция по имени Оптилла, по-видимому, гунном.
Текст: Александр Красоткин
Опубликовано 29.10.2009