Информация - вот что является движущей силой сегодняшнего прогресса и развития практически всех отраслей человеческой деятельности. Для её передачи разрабатываются все новые и новые технологии, улучшаются каналы связи, развивается сетевая инфраструктура, сложность которой с каждым годом увеличивается.
Широкое внедрение искусственного интеллекта резко обострило ситуацию, делая многие системы безопасности практически бесполезными...
И все бы хорошо, но, к сожалению, сложные сетевые технологии достаточно уязвимы для целенаправленных атак. Интернет стирает границы, позволяет остаться незамеченным, в Сеть можно выйти практически из любой точки нашей планеты - всем этим и пользуются злоумышленники, или, как сейчас стало модно их называть, - хакеры.
С каждым годом число подключенных к Сети компьютеров растет практически в геометрической прогрессии. Сегодня трудно представить организацию, фирму или учреждение, где бы для обработки документов, обмена сообщениями, доступа к информационным серверам и так далее не использовали машин, подключенных к Сети. Да и подавляющее большинство обычных людей не представляют свою жизнь без Интернета, который уже давно стал средством массовой информации. Но преимущества доступа к информации через Интернет все чаще омрачаются атаками вирусов, червей, троянских коней, шпионских программ и хакеров.
Несколько лет назад большинство атак на сетевые объекты совершались лицами, которым просто было интересно, что находится в их недрах, сейчас же вторжения на серверы различных организаций, кража конфиденциальных данных и другие преступные действия предпринимаются с корыстными целями, организованными и хорошо оснащенными ОПГ. Конечно же, здесь не идет речь о взломах банков, все намного проще. Злоумышленник заражает большое количество компьютеров в Интернете, тем самым формируя базу для осуществления распределенных атак отказа в обслуживании (так называемая DDoS атака), направленных по заказу или в целях вымогательства на организации, ведущие свой бизнес через Интернет. Также злоумышленник может осуществлять рассылку спама, что достаточно прибыльно сегодня. Об основных видах разнообразных атак мы и поговорим сегодня.
Можно сказать, что все разнообразие угроз, подстерегающих пользователя на просторах Интернета, делится на две большие части. Первая часть - это плата за использование сложных информационных технологий, уязвимых к внешним воздействиям, вторая - это плата за халатность и пренебрежение к элементарным правилам нахождения в Интернете самих пользователей. Какими бы ни были навороченными системы идентификации, от них будет мало проку, если пользователи, к примеру, выбирают простые для взлома пароли. В компаниях, где к вопросам безопасности подходят профессионально, подобные проблемы решаются с помощью централизованной выдачи уникальных, стойких к взлому паролей или установкой жестких корпоративных правил для сотрудников и адекватных мер наказания за их несоблюдение.
Как говорил известный американский криптограф, писатель и специалист по компьютерной информации Брюс Шнайер: «Безопасность системы определяется самым слабым её звеном». Именно этим высказыванием руководствуются многие злоумышленники, планируя нападение на компьютерную систему. Например, если имеется несколько объединенных между собой в систему компьютеров и к этой системе имеет доступ некоторое количество удаленных клиентов, то наиболее уязвимыми являются соединения клиентов с этой системой, особенно уязвимы домашние компьютеры пользователей. Зная об этом, некоторые организации, в основном банки, предлагают своим клиентам дешевое или вообще бесплатное защитное программное обеспечение (например, брандмауэры или антивирусы). Так чего же стоит ожидать от компьютерных террористов и бояться обычным пользователям, точнее, от чего им защищаться?
Сетевые атаки столь же разнообразны, сколь разнообразны системы, против которых они направлены. Чтобы дать оценку типам атак, необходимо знать некоторые ограничения, изначально присутствовавшие в протоколе TCP/IP. Создатели Интернета в целом и протокола IP в частности не подозревали, насколько широкое распространение получит их детище, поэтому многие реализации IP являются изначально уязвимыми. Только после того как электронная коммерция начала своё бурное развитие, наконец начали широко внедряться средства обеспечения безопасности интернет-протокола. Далее мы кратко рассмотрим типы атак, которые обычно применяются против сетей IP, и перечислим способы борьбы с ними.
Суть IP-спуфинга заключается в том, что злоумышленник выдает себя за доверенного пользователя сети. Реализовать данную атаку можно по-разному, например, злоумышленник может воспользоваться IP-адресом, находящимся в списках доверенных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. В основном IР-спуфинг ограничивается вставкой ложной информации или вредоносных команд в поток данных, передаваемых между клиентским и серверным приложением. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IР-адрес.
Если ему это удастся, то он получит все пакеты и сможет отвечать на них так, как будто он является доверенным пользователем системы.
Полностью устранить угрозу IР-спуфинга практически невозможно. Но существуют методы, которые способны существенно ослабить эту угрозу. Например, если доверенные адреса являются внутренними адресами компании, то имеет смысл настроить систему безопасности так, чтобы она блокировала любой трафик, поступающий из внешней сети с исходным адресом, который должен на самом деле находиться во внутренней сети.
Способов борьбы с IР-спуфингом немало, однако самой эффективной защитой будет сделать атаку абсолютно бессмысленной. Поскольку IР-спуфинг может быть реализован только при условии, что аутентификация пользователей происходит на базе IP-адресов, то шифрование аутентификации делает этот вид атак бесполезными.
Также бессмысленными атаки IР-спуфинга делает механизм использования одноразовых, сгенерированных случайным образом, паролей.
На сегодняшний день одним из наиболее распространенных видов сетевых атак является атака на отказ в обслуживании. Об этом виде сетевой атаки стало известно примерно в 1996 году, однако тогда никто не воспринимал его как серьезную угрозу безопасности. Так считали многие до декабря 1999 года, когда при помощи этой технологии были выведены из строя web-узлы таких известных корпораций, как CNN, Yahoo, Amazon, E-Trade и другие. К 2001 году DoS-атаки стали уже обычным делом. Стоит отметить, что целью DoS-атаки не является кража какой- либо информации, основной целью данного вида атак является парализация работы атакуемого сервера. DoS-атаки опасны тем, что для их осуществления злоумышленникам не требуется каких-то особых знаний и умений, все необходимое для осуществления атаки, начиная от описания и заканчивая готовыми программами, свободно доступно в Интернете.
Кроме того, от атак подобного рода сложно защититься. Технология DoS-атаки выглядит следующим образом: на выбранный злоумышленником в качестве цели сервер обрушивается шквал запросов от зараженных компьютеров по всему миру. В результате этого сервер не может обработать все полученные пакеты и оказывается парализованным и не способным принимать и обрабатывать запросы от обычных пользователей. Пользователи компьютеров, с которых посылаются ложные пакеты, даже и не подозревают о том, что их компьютер используется злоумышленниками. Подобное распределение не только усиливает разрушительное действие атаки, но и сильно затрудняет меры по ее отражению, не позволяя выявить истинный адрес координатора атаки.
Сегодня в основном используют следующие виды DoS-атак:
Основная цель этого вида атак - превысить ограничение на количество соединений, которые находятся в состоянии установки. В результате система не может устанавливать новые соединения. После этого каждый дополнительный запрос еще сильнее увеличивает нагрузку. Достижение желаемого результата происходит путем отправки большого количества запросов на инициализацию ТСР-соединения с атакуемым сервером.
При осуществлении этого вида атак ping-запросы пересылаются по адресу широковещательной рассылки. Используемый в пакетах запроса адрес - это адрес атакуемого сервера. При получении подобных пакетов сервер начинает отвечать на них, что приводит к резкому снижению производительности или парализации сети, в которой находится атакуемый сервер.
В этой разновидности атак опять же используются ping-запросы. Атакуемому серверу посылается множество достаточно больших (64 кБ) ping-пакетов, которые, к тому же, сильно фрагментированы. При получении таких пакетов производительность сервера снижается вплоть до полной парализации.
Это наиболее опасный вид атаки. UDP-сервис одной машины генерирует последовательность символов для каждого получаемого системой пакета. Далее связывается с echo-сервисом другой машины, которая повторяет эти символы. В результате передается большое количество UDP-пакетов с подделанным IP-адресом источника. Основная проблема для защиты состоит в том, что протокол UDP не устанавливает соединения.
Для защиты от DoS-атак необходимо фильтровать трафик на уровне поставщика услуг Интернет, так как на входе во внутреннюю сеть это будет уже практически невозможно сделать из-за загруженности каналов. Также необходимо правильно сконфигурировать систему анти-спуфинга и анти-DoS на маршрутизаторах и брандмауэрах. Кроме того, рекомендуется ограничить объем проходящего по сети некритичного трафика, обычно ограничивается объем ICMP трафика, так как он используется только для диагностики.
Целью подобной атаки является кража или подделка передаваемой по сети информации, а также получение доступа к ресурсам сети. Данный тип атак в большей степени характерен для промышленного шпионажа. При атаке Man-in-the-Middle злоумышленник должен получить доступ к пакетам, передаваемым по сети, поэтому в большинстве случаев злоумышленниками являются сотрудники компании или фирмы-поставщика Интернета. Для осуществления данного вида атак используются программы, которые перехватывают трафик, передаваемый по сети, эти программы называются «снифферы» от английского слова sniff - «нюхать». Поскольку данная атака осуществляется сотрудником компании, защититься от нее будет крайне сложно.
В техническом плане обезопасить себя можно шифрованием передаваемых данных. Однако в этом случае недостаточно только технических мер, необходимо выявлять злоумышленника еще до того как он осуществит кражу информации, этим должны заниматься кадровый отдел и служба безопасности организации.
В основном от этих напастей страдают конечные пользователи Интернета. С каждым годом масштабы поражения от вредоносного ПО растут как на дрожжах. Многие пользователи не видят разницы между вирусом и троянским конем, хотя это разные классы вредоносного ПО. Вирус, попадая на компьютер, старается выполнить заложенный в него вредоносный код, это может быть как уничтожение каких-либо данных, так и порча оборудования.
Троянский конь, в отличие от вирусов, чаще всего не афиширует свое присутствие в системе. Цель внедрения троянского коня - получение скрытого удаленного контроля над машиной жертвы. Защититься от подобного рода программного обеспечения можно с помощью специальных защитных программ, таких как, например, антивирус, брандмауэр и т.д. Правда, стоит отметить, что регулярные эпидемии различных вирусов происходят во многом благодаря «человеческому фактору». Многие пользователи и даже системные администраторы попросту ленятся обновлять систему или антивирусные базы.
Конечно же, это далеко не полный список возможных атак, рамки данной статьи не позволяют описать даже четверти атак, об этом можно писать целые книги.
С развитием информационных технологий и проникновением их во все сферы жизни растет и число злоумышленников, которые не прочь поживиться на ошибках разработчиков. Поэтому в будущем тема информационной безопасности будет все более и более актуальной. В скором времени, как утверждают специалисты, при построении защитных систем основной акцент будет делаться не на реагирование на уже произошедшие атаки, а на их прогнозирование и профилактику. Сейчас довольно остро стоит проблема с так называемыми «инсайдерами» - людьми, которые, работая в компании, изнутри занимаются промышленным шпионажем и тому подобными вещами. Поэтому в скором времени намного шире будут применяться биометрические системы аутентификации пользователей, например сканирования сетчатки глаза или отпечатков пальцев. Конечно, чтобы добиться такого развития отрасли защиты информации, нужно вкладывать в нее огромные деньги.
В нашей стране потихоньку стали понимать, что лучше потратить определенную сумму на защиту от нападений, чем потом разгребать их последствия, которые могут привести даже к потере бизнеса. И, надеюсь, когда-нибудь в Интернете можно будет со спокойной душой скачивать файлы, читать письма, да и просто путешествовать по Сети, не опасаясь за свой компьютер, данные и за собственную личность.
Василий Потапов
***