Максим Мошков. Безопасность для интернет-дачников
---------------------------------------------------------------
© Copyright 1999 Максим Мошков
Email: moshkow@ipsun.ras.ru
WWW: http://lib.ru/~moshkow/
Date: 28 May 1999
Статья для журнала "Интернет", август 1999
---------------------------------------------------------------
Старожилы рунета наверное помнят еще те времена, когда и рунета-то не
было, вебстранички на русском исчислялись сотней штук, а русских серверов
было то ли двадцать, то ли пятьдесят. Давно ли это было? Всего лишь 5-6 лет
назад.
Поиграем в ассоциации. Итак - пускай большая, невиртуальная жизнь - это
город. Город Москва. С заводами, институтами и житейскими заботами. А
Интернет - это дачи. В отпусках, в свободное от работы время,
"самозахватом", или организованно - начинающие дачники заселяли окрестные
сервера, поливали свои огородики и менялись друг с другом саженцами и
редкими сортами тюльпанов. Кто-то сколачивал из подручных лесин, натыренных
на стройке в соседней области хибарку, кто-то подгонял казенный фирменный
грузовичек и отстраивал кирпичную дачку. К старожилам приезжали из города
знакомые и родственники погостить и... оставались тоже, пристраивая
участочки-хомячки по соседству. Тихая патриархальная жизнь перебивалась
регулярными бытовыми ссорами и замирениями, ну а милиции в этих краях
отродясь не было. Да и от кого тут нужны милиционеры? Убийств, ограблений и
хулиганства - не наблюдалось, а когда случались редкие бомжи с которыми не
справлялся местный сторож, из соседнего совхоза "Красный Релком" на
мотороллере приезжали крепкие ребята-механизаторы и вышибали непрошенных
гостей к чертовой бабушке.
Мы жили в те времена. Мы расслабились и привыкли к спокойной безопасной
жизни, к тому, что калитки на участках открыты, а дома не запираются, окна
распахнуты, и цветочки, высаженные вдоль забора, не вытаптывает соседский
молодняк.
И прошло всего четыре года, и мы вдруг обнаружили, что половина
окрестных полей застроены крепкими кирпичными коттеджиками, за нашим забором
на 40 хаток раскинулся дачный поселок на 5,000 трехэтажных домов, и город,
из которого мы бежали пришел к нам вновь, со всеми своими проблемами.
Хулиганство? Пожалуйста. Драка в преулке, кражи со взломом? Сколько угодно.
Настала пора очнуться и осмотреться. И привыкать жить в новом - уже совсем
не виртуальном мире. Русский интернет стал совсем как настоящий реальный мир
- с заводами, магазинами и житейскими заботами.
Я не собираюсь рассматривать здесь проблемы защиты крупных коммерческих
фирм. Денег у них обычно хватает на то, чтобы купить себе надежный и дорогой
файрволл.
Мне интереснее оценить наши с вами проблемы - проблемы простых
пользователей сети, администраторов веб серверов и мелких провайдеров.
Вряд ли при взломе нашей системы мы рискуем большими деньгами. Не
думаю, что на нашем сервере хранится невосполнимая информация. Все проще и
прозаичнее. Любой взлом обходится администратору в большие потери личного и
рабочего времени.
Взломанный сервер нельзя использовать дальше. Выловить все возможные
хакерские закладки и троянских коней - дело не легкое. А самое главное - не
100%-е.
Поэтому после взлома дорога у нас одна. Полная переинсталляция системы
с нуля. Установка операционки, и всего прикладного софта с дитрибутивов. А
его, этого софта - много. И настройка его по месту - тоже дело не
мгновенное. По другому - не получится, а это несколько часов работы. Иногда
даже - несколько дней.
Итак - потери от взлома для обычного некоммерческого сервера - это
потеряное время и лишний гемморой. Для коммерческого - это недовольство
клиентов, удар по престижу, а может быть даже и по карману. И - конечно
лишний гемморой - ценные технические специалисты вместо решения плановых
задач будут тратить свое время на восстановление системы. Получая за это
свою отнюдь не маленькую зарплату.
Перечислю несколько устойчивых заблуждений и мифов, бытующих по поводу
интернета в головах рядовых интернет-пользователей.
Говорят, что в интернете кроме порнухи ничего не найти. И только за
эротическими картинками народ по сети и шарится.
Говорить такой бред может только тот, кто никогда не пытался найти
достойный и интересный порносервер. А кто пытался - тот уже знает - все что
угодно кроме, даже черта лысого проще найти, чем сервер с картинками а не
сервер, где у вас будут показывать тысячи дурацких баннеров и вымогать номер
кредитки и которой у вас все равно нет.
Говорят, что с перепиской по email надо быть осторожным, ведь
кто-нибудь может слать вашему другу от вашего имени всякие гадости, а его
ответы перехватывать, чтоб не дать ему прояснить ситуацию.
Да, действительно, бытовая переписка передается по интернету в
незашифрованном виде, ее можно перехватить и подсмотреть на почтовом
сервере, и, даже сфальсифицировать. Только для занятия этим нужна высокая
квалификация и доступ к этому серверу. А его могут получить люди только трех
профессий: сисадмин - который с гораздо большим интересом поиграет в
свободное время в quake, хакер - которому недосуг заниматься глупостями -
ведь зарубку на клавиатуре ставят не за взломанное письмо, а за взломанный
сервер, и, наконец, те-кому-положено. Но вы ведь не академик Сахаров.
Говорят, по сети крадутся хакеры, взламывая все подряд, выкрадывая из
компьютеров деньги, билеты, телефоны любовниц, и сталкивая с орбиты
космические спутники.
Не верьте. Это поклеп. Деньги тратятся сами собой, билеты - просто
теряются, а космические спутники по tcp/ip заваливать не обязательно - они и
сами падают.
И, наконец, самое опасное заблуждение: Говорят, интернетовский сервер
можно сделать на базе Windows NT.
Опасно это заблуждение тем, что приносит проблем больше, чем все
хакерские атаки вместе взятые, и гарантирует все те же неприятности, что и
от взлома системы: потеря работоспособности, отказы, зависания, и как
следствие - геммор, переинсталляция системы и потеря клиентов.
Реальные опасности для безопасности
В реализации протоколов TCP/IP есть несколько довольно неприятных
недоработок, которые повлекли за собой дырки в безопасности интернет-хоста,
причем есть среди них и такие, которые сложно или даже невозможно закрыть
полностью.
Система DNS (определение IP-адреса по доменному имени компьютера)
"верит" первому же откликнувшемуся на запрос нейм-серверу, и ее можно
обмануть, подсунув под видом отклика фальсифицированный ответ. Причем
обмануть можно не только отдельно-взятую клиентскую машину, но и сервер DNS,
"накормив" его фальшивыми адресами. Обманутый сервер начнет передавать
"фальшивую" информацию всем своим клиентам, что особенно болезнено, если это
крупный провайдерский хост, обслуживающий всех клиентов этого провайдера.
Защиты от такого метода атаки нет, и его широко применяют для подмены
популярных веб-серверов. Если вы встретите сообщение о том, что "головная
страница сервера имярек заменена страницей с призывами (призывы не пропущены
цензурой)" - то 95%, что это сделано подменой DNS. Единственное кардинальное
лечение этой дыры - перевод всех DNS-серверов в мире на named версии 8 -
процесс довольно длительный и болезненный, и конца ему пока не видно.
Ко многим серверам применимо целое семейство DoS атак (Denial of
Service) - в просторечии эти методы можно назвать "закидать банановыми
шкурками" - когда атакующий генерит большой поток запросов на сервер, сервер
не успевает их обработать и забивает свои входные очереди фальшивками,
реальным же пользователям в очереди уже не остается места. Это может быть и
SYN-атака - забивающая приемную очередь tcp-пакетов на низком уровне, а
может банальное "задавливание" веб-сервера большим потоком стандартных
http-запросов.
С точки зрения определений заваливание сервера DoS-атакой или
DNS-подменой нельзя назвать взломом в чистом виде. Но в том то и беда, что
для атакованного сайта результат один и тот же - что при взломе, что при
завале, что при банальном отказе по причине ошибок самого администратора:
сервер молчит, посетители не могут на него попасть, администратору -
головная боль и борьба с неисправностями, а начальству - отмывание мундира и
денежные проблемы - гарантированы.
А раз так, то неспециалистам (т.е. подавляющему большинству) можно не
тратить время и забивать себе голову изучением, какие типы, виды и подвиды
взломов, атак и т.п. существуют. Неприятности во всех случаях получаются
совершенно идентичные. Зато, пожалуй, стоит проклассифицировать причины
отказа системы.
1. Злонамеренное внешнее вмешательство. ("Хакер.")
2. Злонамеренное внутреннее вмешательство. ("Засланный казачок.")
3. Непреднамереное внутреннее головотяпство. ("Акела промахнулся.")
4. Программно-аппаратная неисправность. ("Ломается все.")
Как легко догадаться, от "казачка" защититься невозможно в принципе.
Понизить вероятность "поломок" можно вложив деньги в более дорогое и
надежное оборудование. Отказы из-за ошибки обслуживающего персонала,
администратора, программиста - неизбежны и регулярны, вероятность их -
наиболее высокая, по сравнению со всеми остальными бедами.
В свете перечисленного - борьба с хакерами становится уже не столь
актуальной, и покупка очень надежного, и очень дорогого файрволла - возможно
уже не покажется вам панацеей от всех бед. Конечно приятно иметь в своем
дачном домике стальную бронебойную дверь. Но если стены - из фанеры, если
окна - закрыты на крючок из проволоки, если к чердаку приставлена лестница -
то злодей все равно проникнет во внутрь. Так не лучше ли вместо покупания
стальной двери, купить дверь деревянную но с хорошим замком, а на
сэкономленную сумму купить рамы с решеткой и замок для чердака? Возращаясь
от аналогий - сэкономив деньги на файрволле (а цены на коммерческий файрволл
идут находятся в интервале от 10 до 30 тысяч долларов), можно их вложить с
большей (для обеспечения надежности) отдачей - в оборудование, в обучение
сотрудников, в повышенную зарплату, на которую можно будет нанять
квалифицированного администратора, делающего меньше ошибок, чем
новичок-самоучка.
Самое опасное в интернете - не хакеры, а спамеры.
Спамеры, рассылающие по всему свету свои рекламные письма давно не
пользуются своими собственными выделенными почтовыми серверами. Потому что
их мгновенно засекают и отключают провайдеры. А провайдеры отключают
спамеров, чтоб самим не остаться в изоляции, потому, что если они это не
сделают, то соседи перестанут принимать от провайдеров-нарушителей _любую_
почту. Спрашивается - почему в Москве между некоторыми адресами не ходит
почта? (Не буду уточнять, между кем и кем, чтоб не обвинить невиновных - но
пользователи конечно знают эти непроходимые адреса.) Потому что кое-кто из
наших провайдеров не в состоянии придавить заведшихся у них спамеров.
Современный спамер находит чужой почтовый сервер, в котором (по недосмотру
системного администратора) разрешен relaying (пересылка почты от "чужих"
адресов на "чужие" адреса). Что позволяет спамеру послать через эту машину
спам по всему миру.
Задумаемся на секунду - что произойдет с машиной, которой поручили
разослать письма по списку в несколько сотен тысяч адресов. В принципе -
ничего особо страшного - письма осядут в очереди (немаленькой) и машина
будет их потихоньку рассылать - по несколько десятков единовременно и так в
течении нескольких дней. Грозить вам это будет - сильной загрузкой
процессора и выходного интернетовского канала, а также - бааальшим счетом от
провайдера за зарубежный траффик. Но это только начало.
Среди сотен тысяч адресов - процентов 20 - являются устаревшими и
недействительными. На каждое недоставленное письмо машина получит письмо от
mailer-demona - о недоставке сообщения. И пойдут они сплошным потоком тысячи
запросов на соединение единовременно. Получаем классический DoS - на
SMTP-шный порт сваливается огромное количество запросов с которыми машина
справиться не успевает. Unix-ы обычно это переносят с большим трудом, тратя
ВСЕ свои силы на прием почты - при этом прекращая обслуживать обычных
посетителей. Windows NT - гарантированно умирает.
Усугубляет разницу то, что современные версии сетевых Unix - Linux и
FreeBSD по умолчанию ставятся с отключенным relayng'ом, а Windows NT - с
разрешенным.
Печальная история: один мой знакомый провайдер жаловался, что клиенты,
которых он подключал на этой неделе выделенными каналам достали его
жалобами: "сломалась, не работает почта, помогите". Все пять клиентов, как
один. Каждый перед этим решил поставить свой собственный почовый сервер. На
Windows NT.
Веб-мастер - бди, враг не дремлет
Не подумайте, что я непоследователен, и призываю наплевать на
безопасность выкинуть файволлы и заниматься вместо этого
административно-хозяйственными вопросами. Конечно нет. И файрволл нужен, и о
хакерах надо не забывать. Просто надо смотреть на проблему комплексно,
сбалансированно распределять ресурсы, и не забывать о _всех_ узких местах. И
о хакерах - тоже.
Нынешний среднестатический взломщик - хакером в большинстве своем
называться не имеет права. Это обычный подросток или недоучившийся студент,
места в жизни не нашедший. Для большинства обнаруженных в операционных
системах дыр уже написаны программы, которые сами прощупывают окружающие
хосты, сами определяют в них наличие дырок, сами ломают, сами закидывают в
проломанную дыру крючки и закладки. Чтоб стать "хакером" теперь - достаточно
наковырять себе этих программ посвежее, а дальше остается просто их
запускать и нажимать кнопку "Ok".
Чтобы защититься от таких взломщиков, достаточно внимательно
отслеживать листы-рассылки с оповещениями об обнаруженных дырках в своей
операционной системе и затыкать их _СРАЗУ_. Обычно дырки, эксплойты для них
и заплатки для них же становятся известны практически одновременно, и если
не тормозить и затыкать все по мере обнаружения, то на взлом этой дыры
хакерам останется не так уж много времени.
Ставьте патчи-заплатки
Самое незащищенное состояние сервера - в момент его инсталляции и
начальной конфигурации. ЛЮБАЯ свеже-проинсталлированная операционная система
имеет дырки в безопасности - поскольку дистрибутив был напечатан давно, а
secutity-патчи, появившиеся с тех пор надо ставить дополнительно.
На время инсталляции операционной системы на интернет-сервер
ОБЯЗАТЕЛЬНО отключите его от интернета
Печальная история: Один мой знакомый конфигурил сервер прямо в
интернете. Его нащупали и взломали сразу - в тот краткий промежуток, около
15 минут когда у него уже был включен IP-роутинг, но еще не были доставлены
патчи. Никто за ним специально не охотился - просто какие-то умельцы гоняли
в это время сканирующую программу и случайно натолкнулись на его хост.
Сквозь дырку в imap4 ему закинули на машину root-toolkit - эта система
заменяет многие привычные юниксовские команды на свои версии - с троянцами.
При этом подменяются комады типа ls (просмотр директорий), ps (просмотр
запущенных заданий) и другие, и они прячут и не показывают результаты работы
хакерской программы - т.е. взломщик становится "невидимым" для хозяина
машины. А хакерская программа между тем занялась сканированием локальной
сети и подсматриванием паролей, которыми пользователи ходили на соседние
компьютеры...
Дефолтная конфигурация свежепроинсталлированного юникс-сервера
расчитана для дружественной сетевой среды. Многие сервисы находятся в
открытом состоянии (т.е. "всем можно") - что удобно в локальной
корпоративной сети, но абсолютно неприемлемо в сети общего доступа.
ОБЯЗАТЕЛЬНО перевести машину из расслабленного режима по умолчанию в
режим строгой безопасности (т.е. запрещено все и все, кому это явное не
разрешено Это касается всех сетевых служб - начиная с удаленного логина и
ftp и кончая принтером и комадами talk, finger и т.д.
Веселая история: Когда я выставил свой уже доконфигуренный сервер в
общий доступ, в первые же часы в его логах записались попытки удаленных
логинов и подбора паролей из Японии и Польши.
Ну и как прикажете выживать?
Получается, что хакеры бродят толпами, вооруженные
программами-сканерами, ошибаться - нельзя, взломать или хотя бы завалить -
могут практически каждого, и нет защиты. Как же жить то тогда?
Смотрите на жизнь проще. В конце кнцов - по релаьным улицам нашего
реального города ходят хулиганы и маньяки, ходят с дубинками и пистолетами.
Каждый из нас может слопотать по физиономии, да и просто зарезать могут в
подворотне - или в квартире окна побить, и никакой защиты не будет. Не
станешь ведь ходить всю жизнь в бронежилете и с двумя телохранителями за
спиной. Однако же живем, не боимся - не так страшен черт, как его малюют,
нормальных людей - большинство, хулиганов на всех никак не хватит - нас
спасает принцип "неуловимого Джо". А так же - разумная осторожность, и -
грамотные системные администраторы операционной системы Unix.
* РЕДАКТИРОВАННЫЙ ВАРИАНТ. Безопасность для интернет-дачников *
---------------------------------------------------------------
© Copyright Максим Мошков
Email: moshkow@ipsun.ras.ru
WWW: http://lib.ru/~moshkow/
Date: 13 Jun 1999
Origin: http://lib.ru/SECURITY/securedacha.txt
Радакция: Михаил Якубов (qub@qub.com)
---------------------------------------------------------------
Старожилы Рунета, наверное, помнят еще те времена, когда и Рунета-то не
было, вебстранички на русском исчислялись сотней штук, а русских серверов
было то ли двадцать, то ли пятьдесят. Давно ли это было? Всего лишь 5-6 лет
назад.
Поиграем в ассоциации. Пускай большая, невиртуальная жизнь - это город.
Город Москва. С заводами, институтами и житейскими заботами. А Интернет -
это дачи. В отпусках, в свободное от работы время, "самозахватом", или
организованно - начинающие дачники заселяли окрестные сервера, поливали свои
огородики и менялись друг с другом саженцами и редкими сортами тюльпанов.
Кто-то сколачивал из подручных лесин, натыренных на стройке в соседней
области, хибарку, кто-то подгонял казенный грузовичок и отстраивал кирпичную
дачку. К старожилам приезжали из города знакомые и родственники погостить
и... оставались тоже, нарезая участочки-хомячки по соседству. Тихая
патриархальная жизнь нарушалась регулярными бытовыми ссорами и замирениями,
ну а милиции в тех краях отродясь не было. Да и от кого тут нужны
милиционеры? Убийств, ограблений и хулиганства - не наблюдалось, а когда
наведывались редкие бомжи, с которыми не справлялся местный сторож, из
соседнего совхоза "Красный Релком" на мотороллере приезжали крепкие
ребята-механизаторы и вышибали непрошенных гостей к чертовой бабушке.
Мы жили в те времена. Мы расслабились и привыкли к спокойной и
безопасной жизни, к тому, что калитки на участках открыты, а дома не
запираются, окна распахнуты, и цветочки, высаженные вдоль забора, не
вытаптывает соседский молодняк.
И прошло всего четыре года, и мы вдруг обнаружили, что половина
окрестных полей застроены крепкими кирпичными коттеджиками, за нашим забором
где 40 хаток раскинулся дачный поселок на 5,000 трехэтажных домов, и город,
из которого мы бежали, пришел к нам вновь, со всеми своими проблемами.
Хулиганство? Пожалуйста. Драка в преулке, кражи со взломом? Сколько угодно.
Настала пора очнуться и осмотреться. И привыкать жить в новом, совсем уже не
виртуальном мире. Русский Интернет стал совсем как настоящий мир - с
заводами, магазинами и житейскими заботами.
Я не собираюсь рассматривать здесь проблемы защиты сетей крупных
коммерческих фирм. Денег у них обычно хватает на то, чтобы купить себе
надежный и дорогой файрволл. Мне интереснее оценить наши с вами проблемы -
проблемы простых пользователей сети, администраторов веб-серверов и мелких
провайдеров.
Вряд ли при взломе нашей системы мы рискуем большими деньгами. Не
думаю, что на нашем сервере хранится невосполнимая информация. Все проще и
прозаичнее. Любой взлом обходится администратору в большие потери личного и
рабочего времени.
Взломанный сервер нельзя использовать дальше. Выловить все возможные
хакерские закладки и троянских коней - дело нелегкое. А самое главное -
нельзя быть стопроцентно уверенным в успехе.
Поэтому после взлома дорога у нас одна -- полная переинсталляция
системы с нуля. Установка операционки и всего прикладного софта с
дитрибутивов. А такого софта почти всегда - много. И настройка его под
конкретное окружение тоже дело не мгновенное. По другому не получится, а это
несколько часов работы, а иногда -- несколько дней.
Итак, потери от взлома для обычного некоммерческого сервера - это
потраченное время и трата сил. Для коммерческого - это недовольство
клиентов, удар по престижу, а может быть, даже и по карману. И конечно,
опять лишния трата сил - ценные технические специалисты вместо решения
плановых задач будут восстанавливать систему, получая за это свою отнюдь не
маленькую зарплату.
Перечислю несколько устойчивых заблуждений и мифов, бытующих в связи с
Интернетом в головах рядовых пользователей.
Говорят, что в интернете кроме порнухи ничего не найти. И только за
эротическими картинками народ по сети и шарится.
Говорить такую чепуху может только тот, кто никогда не пытался найти
достойный и интересный порносервер. А кто пытался, тот уже знает - все что
угодно кроме, черта лысого проще найти, чем сервер с картинками, а не
сервер, где вам покажут тысячи дурацких баннеров и будут долго клянчить
номер кредитки, которой у вас все равно нет.
Говорят, что с перепиской по email'у надо быть осторожным, ведь
кто-нибудь может послать вашему другу от вашего имени всякие гадости, а его
ответы перехватывать, чтоб не дать ему прояснить ситуацию.
Да, действительно, бытовая переписка передается по интернету в
незашифрованном виде, ее можно перехватить и подсмотреть на почтовом
сервере, и даже сфальсифицировать. Только для занятия этим нужна высокая
квалификация и доступ к этому серверу. А его могут получить люди только трех
профессий: сисадмин - который с гораздо большим интересом поиграет в
свободное время в Quake, хакер - которому недосуг заниматься глупостями
(ведь зарубку на клавиатуре ставят не за прочтенное письмо, а за взломанный
сервер), и, наконец, те-кому-положено. Но вы ведь не академик Сахаров.
Еще говорят, по сети крадутся хакеры, взламывая все подряд, выкрадывая
из компьютеров деньги, билеты, телефоны любовниц, и сталкивая с орбиты
космические спутники.
Не верьте. Это поклеп. Деньги тратятся сами собой, билеты - просто
теряются, а космические спутники по TCP/IP заваливать не обязательно - они и
сами падают.
И, наконец, самое опасное заблуждение: говорят, интернетовский сервер
можно сделать на базе Windows NT.
Опасно это заблуждение тем, что приносит проблем больше, чем все
хакерские атаки вместе взятые, и гарантирует все те же неприятности, что и
от взлома системы: потеря работоспособности, отказы, зависания, и как
следствие - сизифовы труды и пот, переинсталляция системы и потеря клиентов.
Реальные опасности для безопасности
В реализации протоколов TCP/IP есть несколько довольно неприятных
недоработок, влекут за собой дырки в безопасности Интернет-хоста, причем
есть среди них и такие, которые сложно или даже невозможно закрыть
полностью.
Система DNS (определение IP-адреса по доменному имени компьютера)
"верит" первому же откликнувшемуся на запрос name-серверу, и ее можно
обмануть, ответ сфальсифицировав. Причем обмануть можно не только отдельно
взятую клиентскую машину, но и сервер DNS, "накормив" его фальшивыми
адресами. Обманутый сервер начнет передавать "фальшивую" информацию всем
своим клиентам, что особенно болезнено, если это крупный провайдерский узел,
которым пользуются клиенты этого провайдера.
Защиты от такого метода атаки нет, и его широко применяют для подмены
популярных веб-серверов. Если вы встретите сообщение о том, что "головная
страница сервера имярек заменена страницей с призывами (призывы не пропущены
цензурой)" - то девять пртив одного за то, что это сделано подменой DNS.
Единственное кардинальное лечение этой дыры - перевод всех DNS-серверов в
мире на named версии 8. Это процесс длительный и болезненный, и конца ему
пока не видно.
Ко многим серверам применим целый набор DoS-атак (Denial of Service) -
образно говоря, это все ракно как "закидать банановыми шкурками". Атакующий
генерит большой поток запросов на сервер, сервер не успевает их обрабатывать
и забивает свои входные очереди ответами-в-никуда, реальным же пользователям
в очередях уже не остается места. Это может быть и SYN-атака - забивающая
приемную очередь TCP-пакетов на низком уровне, а может банальное
"задавливание" веб-сервера большим потоком простых HTTP-запросов.
С точки зрения определений заваливание сервера DoS-атакой или
DNS-подменой нельзя назвать взломом в чистом виде. Но в том-то и беда, что
для атакованного сайта результат один и тот же - что при взломе, что при
завале, что при банальном отказе по причине ошибок самого администратора:
сервер молчит, посетители не могут на него попасть, администратору -
головная боль и борьба с неисправностями, а начальству - отмывание мундира и
денежные проблемы, все это -- с гарантией.
А раз так, то неспециалистам (то есть подавляющему большинству) можно
не тратить время и не забивать себе голову изучением, какие типы, виды и
подвиды взломов, атак и т. д. существуют. Неприятности во всех случаях
получаются совершенно идентичные. Зато, пожалуй, стоит проклассифицировать
причины отказа системы.
1. Злонамеренное внешнее вмешательство ("Хакер")
2. Злонамеренное внутреннее вмешательство ("Засланный казачок")
3. Непреднамереное внутреннее головотяпство ("Акела промахнулся")
4. Программно-аппаратная неисправность ("Ломается все")
Как легко догадаться, от "казачка" защититься невозможно в принципе.
Понизить вероятность "поломок" можно, вложив деньги в более дорогое и
надежное оборудование. Отказы из-за ошибки обслуживающего персонала,
администратора, программиста - неизбежны и регулярны, вероятность их, по
сравнению со всеми остальными бедами, наиболее высокая.
В этом свете борьба с хакерами становится уже не столь актуальной, шум
вокруг них кажется непропорционально громким, и покупка очень надежного (и
очень дорогого) файрволла, возможно, уже не покажется вам панацеей от всех
бед. Конечно, приятно иметь в своем дачном домике стальную бронебойную
дверь. Но если стены - из фанеры, если окна закрыты на крючок из проволоки,
если к чердаку приставлена лестница - то злодей все равно проникнет внутрь.
Так не лучше ли вместо покупки стальной двери купить дверь деревянную но с
хорошим замком, а на сэкономленную сумму купить рамы с решеткой и замок для
чердака? Воплощая аналогии - сэкономив деньги на файрволле (а цены на
коммерческий файрволл находятся в интервале от 10 до 30 тысяч долларов),
можно их вложить с большей (для обеспечения надежности) отдачей - в
оборудование, в обучение сотрудников, в повышенную зарплату, на которую
можно будет нанять квалифицированного администратора, делающего меньше
ошибок, чем новичок-самоучка.
Самое опасный внешний враг - не хакеры, а спамеры
Спамеры, рассылающие по всему свету свои рекламные письма, давно не
пользуются своими собственными выделенными почтовыми серверами. Потому что
их мгновенно засекают и отключают провайдеры. А провайдеры отключают
спамеров, чтоб самим не остаться в изоляции, потому что если они этого не
сделают, то соседи перестанут принимать от провайдеров-нарушителей _любую_
почту. Спрашивается - почему в Москве между некоторыми адресами не ходит
почта? (Не буду уточнять, между кем и кем, чтоб не обвинить невиновных - но
пользователи, конечно, знают эти непроходимые адреса.) Потому что кое-кто из
наших провайдеров не в состоянии придавить заведшихся у них спамеров.
Современный спамер находит чужой почтовый сервер, в котором (по недосмотру
системного администратора) разрешен relaying (пересылка почты от "чужих"
адресов на "чужие" адреса). Что позволяет спамеру послать через эту машину
спам по всему миру.
Задумаемся на секунду - что произойдет с машиной, которой поручили
разослать письма по списку в несколько сотен тысяч адресов. В принципе,
ничего особо страшного - письма осядут в очереди (немаленькой), и машина
будет их потихоньку, по несколько десятков единовременно, рассылать -- и так
в течении нескольких дней. Грозить вам это будет сильной загрузкой
процессора и выходного интернетовского канала, а также - бааальшим счетом от
провайдера за зарубежный траффик. Но это только начало.
Среди сотен тысяч адресов - процентов 20 - являются устаревшими и
недействительными. На каждое недоставленное письмо машина получит письмо от
"демона-почтаря" (mailer-daemon) - о недоставке сообщения. И пойдут они
сплошным потоком, тысячи запросов на соединение единовременно. Получаем
классический DoS - на SMTP-шный порт сваливается огромное количество
запросов с которыми машина справиться не успевает. Unix-ы обычно это
переносят с большим трудом, тратя ВСЕ свои силы на прием почты - при этом
прекращая обслуживать обычных посетителей. Windows NT - гарантированно
умирает. Усугубляет разницу то, что современные версии сетевых Unix - Linux
и FreeBSD по умолчанию ставятся с отключенным relayng'ом, а Windows NT - с
разрешенным.
Печальная история: один мой знакомый провайдер жаловался, что клиенты,
которых он подключал на этой неделе по выделенному каналу, достали его
жалобами: "сломалась, не работает почта, помогите". Все пять клиентов, как
один. Каждый перед этим решил поставить свой собственный почовый сервер. На
Windows NT.
Веб-мастер - бди, враг не дремлет
Не подумайте, что я непоследователен и призываю наплевать на
безопасность, выкинуть файволлы и заниматься вместо этого
административно-хозяйственными вопросами. Конечно нет. И файрволл нужен, и о
хакерах надо не забывать. Просто надо смотреть на проблему комплексно,
сбалансированно распределять ресурсы, и не забывать обо _всех_ узких местах.
И о хакерах - тоже.
Нынешний среднестатический взломщик хакером в большинстве своем
называться не имеет права. Это обычный подросток или недоучившийся студент,
места в жизни не нашедший. Для большинства обнаруженных в операционных
системах дыр уже написаны программы, которые сами прощупывают окружающие
хосты, сами определяют в них наличие дырок, сами ломают, сами закидывают в
проломанную дыру крючки и закладки. Чтоб стать "хакером" теперь, достаточно
наковырять себе этих программ посвежее, а дальше остается просто их
запускать и нажимать кнопку "Ok".
Чтобы защититься от таких взломщиков, достаточно внимательно
отслеживать листы-рассылки с оповещениями об обнаруженных дырках в своей
операционной системе и затыкать их _СРАЗУ_. Обычно дырки, эксплойты (т. е.
спосбы использования дырок) и заплатки для них же становятся известны
практически одновременно, и если не тормозить и затыкать все по мере
обнаружения, то на пролом через очередную дыру хакерам останется не так уж
много времени.
Самое незащищенное состояние сервера - в момент его инсталляции и
начальной конфигурации. ЛЮБАЯ свеже-проинсталлированная операционная система
имеет дырки в безопасности - поскольку дистрибутив был напечатан давно, а
security-патчи, появившиеся с тех пор, надо ставить дополнительно.
На время инсталляции операционной системы на интернет-сервер
ОБЯЗАТЕЛЬНО отключите его от Интернета.
Печальная история: Один мой знакомый настраивал сервер прямо в
Интернете. Его нащупали и взломали сразу, в тот краткий промежуток (всего
около 15 минут) пока у него уже был включен IP-роутинг, но еще не были
доставлены заплатки. Никто за ним специально не охотился, просто какие-то
умельцы гоняли в это время сканирующую программу и случайно натолкнулись на
его машину. Сквозь дырку в imap4 ему закинули на машину root-toolkit - эта
система заменяет многие привычные юниксовские команды на свои версии, с
троянцами. При этом подменяются комады типа ls (просмотр директорий), ps
(просмотр запущенных заданий) и другие, и они прячут, не показывают
результаты работы хакерской программы. Таким образом, взломщик становится
"невидимым" для хозяина машины, а установленная им хакерская программа тем
временем уже занялась сканированием локальной сети и подслушиванием паролей,
с которыми пользователи ходили на соседние компьютеры...
Конфигурация по умолчанию свежепроинсталлированного Юникс-сервера
расчитана на дружественное сетевое окружение. Многие сервисы находятся в
открытом состоянии (т. е. в положении "всем можно") - что удобно в локальной
корпоративной сети, но абсолютно неприемлемо в сети общего доступа.
Необходимо ОБЯЗАТЕЛЬНО перевести машину из расслабленного режима по
умолчанию в режим строгой безопасности (т. е. когда запрещено все и всем,
кому это явно не разрешено). Это касается всех сетевых служб - начиная с
удаленного логина и FTP и кончая принтером и комадами talk, finger и т. п.
Веселая история: Когда я выставил свой уже доконфигуренный сервер в
общий доступ, в первые же часы в его логах записались попытки удаленных
логинов и подбора паролей из Японии и Польши.
Ну и как прикажете выживать?
Получается, что хакеры бродят толпами, вооруженные
программами-сканерами, ошибаться - нельзя, взломать или хотя бы завалить -
могут практически каждого, и нет защиты. Как же жить то тогда?
Смотрите на жизнь проще. В конце кнцов - по релаьным улицам нашего
реального города ходят хулиганы и маньяки, ходят с дубинками и пистолетами.
Каждый из нас может слопотать по физиономии, да и просто зарезать могут в
подворотне - или в квартире окна побить, и никакой защиты не будет. Не
станешь ведь ходить всю жизнь в бронежилете и с двумя телохранителями за
спиной. Однако же живем, не боимся. Не так страшен черт, как его малюют,
нормальных людей - большинство, хулиганов на всех никак не хватит - нас
спасает принцип "неуловимого Джо". А так же - разумная осторожность, и
грамотные системные администраторы операционной системы Unix.
Last-modified: Tue, 14 Sep 1999 04:46:19 GMT