Ocenite etot tekst:


---------------------------------------------------------------
  © Copyright 1999 Maksim Moshkov
  Email: moshkow@ipsun.ras.ru
  WWW: http://lib.ru/~moshkow/
  Date: 28 May 1999
  Stat'ya dlya zhurnala "Internet", avgust 1999
---------------------------------------------------------------




     Starozhily  runeta navernoe pomnyat  eshche te vremena, kogda i runeta-to ne
bylo, vebstranichki  na  russkom ischislyalis' sotnej shtuk,  a russkih serverov
bylo  to li dvadcat', to li pyat'desyat. Davno li eto bylo? Vsego lish' 5-6 let
nazad.
     Poigraem v associacii. Itak - puskaj bol'shaya, nevirtual'naya zhizn' - eto
gorod. Gorod  Moskva. S  zavodami,  institutami  i  zhitejskimi  zabotami.  A
Internet  -  eto  dachi.   V   otpuskah,   v  svobodnoe   ot  raboty   vremya,
"samozahvatom",  ili organizovanno  - nachinayushchie dachniki  zaselyali okrestnye
servera,  polivali svoi ogorodiki  i  menyalis'  drug  s  drugom  sazhencami i
redkimi  sortami tyul'panov. Kto-to skolachival iz podruchnyh lesin, natyrennyh
na strojke v sosednej oblasti  hibarku, kto-to  podgonyal  kazennyj firmennyj
gruzovichek i otstraival kirpichnuyu dachku. K  starozhilam  priezzhali iz  goroda
znakomye  i  rodstvenniki  pogostit'  i...  ostavalis'   tozhe,   pristraivaya
uchastochki-homyachki  po  sosedstvu.  Tihaya patriarhal'naya  zhizn'  perebivalas'
regulyarnymi bytovymi  ssorami i  zamireniyami,  nu  a  milicii  v etih  krayah
otrodyas' ne bylo. Da i ot kogo tut  nuzhny milicionery? Ubijstv, ograblenij i
huliganstva - ne nablyudalos', a kogda sluchalis'  redkie bomzhi s kotorymi  ne
spravlyalsya  mestnyj   storozh,  iz  sosednego  sovhoza  "Krasnyj  Relkom"  na
motorollere  priezzhali  krepkie  rebyata-mehanizatory i  vyshibali neproshennyh
gostej k chertovoj babushke.
     My zhili v te vremena. My rasslabilis' i privykli k spokojnoj bezopasnoj
zhizni, k tomu, chto kalitki na uchastkah otkryty, a  doma ne zapirayutsya,  okna
raspahnuty,  i cvetochki, vysazhennye vdol' zabora,  ne  vytaptyvaet sosedskij
molodnyak.
     I  proshlo  vsego chetyre  goda,  i  my  vdrug obnaruzhili,  chto  polovina
okrestnyh polej zastroeny krepkimi kirpichnymi kottedzhikami, za nashim zaborom
na 40 hatok raskinulsya dachnyj  poselok na 5,000 trehetazhnyh domov, i  gorod,
iz kotorogo my  bezhali  prishel k  nam  vnov',  so  vsemi  svoimi problemami.
Huliganstvo?  Pozhalujsta. Draka v preulke, krazhi so vzlomom? Skol'ko ugodno.
Nastala  pora ochnut'sya i osmotret'sya. I privykat' zhit' v novom -  uzhe sovsem
ne virtual'nom mire. Russkij internet stal sovsem kak nastoyashchij real'nyj mir
- s zavodami, magazinami i zhitejskimi zabotami.




     YA ne sobirayus' rassmatrivat' zdes' problemy zashchity krupnyh kommercheskih
firm. Deneg u nih obychno hvataet na to, chtoby kupit' sebe nadezhnyj i dorogoj
fajrvoll.
     Mne  interesnee  ocenit'  nashi  s  vami  problemy  -  problemy  prostyh
pol'zovatelej seti, administratorov veb serverov i melkih provajderov.
     Vryad  li pri  vzlome nashej  sistemy my  riskuem  bol'shimi  den'gami. Ne
dumayu, chto na nashem servere  hranitsya nevospolnimaya informaciya. Vse  proshche i
prozaichnee. Lyuboj vzlom obhoditsya administratoru v bol'shie poteri lichnogo  i
rabochego vremeni.
     Vzlomannyj server nel'zya  ispol'zovat'  dal'she. Vylovit' vse  vozmozhnye
hakerskie zakladki i troyanskih konej - delo ne legkoe.  A samoe glavnoe - ne
100%-e.
     Poetomu posle vzloma doroga u nas odna. Polnaya  pereinstallyaciya sistemy
s nulya. Ustanovka  operacionki, i vsego  prikladnogo softa s ditributivov. A
ego,  etogo  softa -  mnogo.  I  nastrojka  ego  po  mestu -  tozhe  delo  ne
mgnovennoe. Po drugomu - ne poluchitsya, a eto neskol'ko chasov raboty.  Inogda
dazhe - neskol'ko dnej.

     Itak - poteri ot  vzloma  dlya obychnogo  nekommercheskogo servera  -  eto
poteryanoe  vremya  i  lishnij gemmoroj.  Dlya kommercheskogo - eto  nedovol'stvo
klientov,  udar po prestizhu,  a mozhet byt' dazhe  i  po karmanu. I  - konechno
lishnij  gemmoroj -  cennye  tehnicheskie specialisty vmesto  resheniya planovyh
zadach  budut  tratit' svoe vremya na vosstanovlenie  sistemy. Poluchaya za  eto
svoyu otnyud' ne malen'kuyu zarplatu.





     Perechislyu neskol'ko  ustojchivyh zabluzhdenij i mifov, bytuyushchih po povodu
interneta v golovah ryadovyh internet-pol'zovatelej.

     Govoryat, chto  v internete krome pornuhi  nichego ne najti.  I tol'ko  za
eroticheskimi kartinkami narod po seti i sharitsya.

     Govorit'  takoj bred  mozhet  tol'ko  tot, kto nikogda ne pytalsya  najti
dostojnyj i interesnyj pornoserver. A kto pytalsya - tot  uzhe znaet - vse chto
ugodno krome, dazhe cherta  lysogo proshche najti, chem  server s kartinkami a  ne
server, gde u vas budut pokazyvat' tysyachi durackih bannerov i vymogat' nomer
kreditki i kotoroj u vas vse ravno net.

     Govoryat,  chto  s   perepiskoj  po  email  nado  byt'  ostorozhnym,  ved'
kto-nibud' mozhet slat' vashemu  drugu  ot vashego imeni vsyakie gadosti, a  ego
otvety perehvatyvat', chtob ne dat' emu proyasnit' situaciyu.

     Da,  dejstvitel'no,  bytovaya  perepiska   peredaetsya  po   internetu  v
nezashifrovannom  vide,  ee  mozhno  perehvatit'  i  podsmotret'  na  pochtovom
servere,  i,  dazhe sfal'sificirovat'. Tol'ko  dlya zanyatiya etim nuzhna vysokaya
kvalifikaciya i dostup k etomu serveru. A ego mogut poluchit' lyudi tol'ko treh
professij:  sisadmin  -  kotoryj  s gorazdo  bol'shim  interesom  poigraet  v
svobodnoe  vremya  v quake, haker - kotoromu  nedosug zanimat'sya glupostyami -
ved'  zarubku na klaviature stavyat ne za vzlomannoe  pis'mo, a za vzlomannyj
server, i, nakonec, te-komu-polozheno. No vy ved' ne akademik Saharov.

     Govoryat, po seti kradutsya hakery, vzlamyvaya vse podryad,  vykradyvaya  iz
komp'yuterov  den'gi,  bilety,  telefony  lyubovnic,  i  stalkivaya  s   orbity
kosmicheskie sputniki.

     Ne ver'te.  |to  poklep. Den'gi tratyatsya sami soboj,  bilety  -  prosto
teryayutsya, a kosmicheskie sputniki po tcp/ip zavalivat' ne obyazatel'no - oni i
sami padayut.

     I,  nakonec, samoe opasnoe zabluzhdenie: Govoryat,  internetovskij server
mozhno sdelat' na baze Windows NT.

     Opasno  eto  zabluzhdenie  tem,  chto  prinosit  problem bol'she, chem  vse
hakerskie ataki vmeste vzyatye, i garantiruet vse  te zhe nepriyatnosti,  chto i
ot  vzloma  sistemy:  poterya  rabotosposobnosti, otkazy,  zavisaniya,  i  kak
sledstvie - gemmor, pereinstallyaciya sistemy i poterya klientov.



     V  realizacii protokolov  TCP/IP  est'  neskol'ko  dovol'no  nepriyatnyh
nedorabotok, kotorye povlekli za soboj dyrki v bezopasnosti  internet-hosta,
prichem  est' sredi nih i takie, kotorye slozhno ili  dazhe  nevozmozhno zakryt'
polnost'yu.

     Sistema  DNS  (opredelenie  IP-adresa  po domennomu  imeni  komp'yutera)
"verit"  pervomu zhe otkliknuvshemusya  na  zapros  nejm-serveru,  i  ee  mozhno
obmanut',  podsunuv  pod  vidom  otklika  fal'sificirovannyj  otvet.  Prichem
obmanut' mozhno ne tol'ko otdel'no-vzyatuyu klientskuyu mashinu, no i server DNS,
"nakormiv" ego  fal'shivymi  adresami.  Obmanutyj  server  nachnet  peredavat'
"fal'shivuyu" informaciyu vsem svoim klientam, chto osobenno bolezneno, esli eto
krupnyj provajderskij host, obsluzhivayushchij vseh klientov etogo provajdera.

     Zashchity ot takogo metoda ataki net, i ego shiroko  primenyayut dlya  podmeny
populyarnyh  veb-serverov.  Esli vy vstretite soobshchenie  o tom, chto "golovnaya
stranica servera imyarek zamenena stranicej s prizyvami (prizyvy ne propushcheny
cenzuroj)" - to 95%, chto eto sdelano podmenoj DNS. Edinstvennoe kardinal'noe
lechenie etoj  dyry - perevod vseh DNS-serverov  v mire  na named versii 8  -
process dovol'no dlitel'nyj i boleznennyj, i konca emu poka ne vidno.

     Ko  mnogim serveram primenimo  celoe  semejstvo  DoS  atak  (Denial  of
Service)  - v  prostorechii  eti  metody  mozhno nazvat'  "zakidat' bananovymi
shkurkami" - kogda atakuyushchij generit bol'shoj potok zaprosov na server, server
ne uspevaet  ih  obrabotat'  i  zabivaet  svoi vhodnye  ocheredi fal'shivkami,
real'nym zhe pol'zovatelyam v ocheredi uzhe ne ostaetsya mesta.  |to mozhet byt' i
SYN-ataka  -  zabivayushchaya priemnuyu  ochered' tcp-paketov  na nizkom  urovne, a
mozhet  banal'noe  "zadavlivanie"  veb-servera  bol'shim  potokom  standartnyh
http-zaprosov.

     S   tochki   zreniya   opredelenij  zavalivanie  servera  DoS-atakoj  ili
DNS-podmenoj nel'zya nazvat' vzlomom  v chistom vide. No v  tom to i beda, chto
dlya atakovannogo  sajta rezul'tat odin  i tot zhe  - chto pri vzlome, chto  pri
zavale, chto pri  banal'nom otkaze po prichine oshibok  samogo  administratora:
server  molchit,  posetiteli  ne  mogut  na  nego popast',  administratoru  -
golovnaya bol' i bor'ba s neispravnostyami, a nachal'stvu - otmyvanie mundira i
denezhnye problemy - garantirovany.

     A raz  tak, to  nespecialistam (t.e. podavlyayushchemu bol'shinstvu) mozhno ne
tratit'  vremya  i zabivat' sebe golovu izucheniem, kakie tipy, vidy i podvidy
vzlomov, atak i  t.p. sushchestvuyut.  Nepriyatnosti vo  vseh sluchayah  poluchayutsya
sovershenno  identichnye.  Zato, pozhaluj,  stoit  proklassificirovat'  prichiny
otkaza sistemy.

     1. Zlonamerennoe vneshnee vmeshatel'stvo. ("Haker.")

     2. Zlonamerennoe vnutrennee vmeshatel'stvo. ("Zaslannyj kazachok.")

     3. Neprednamerenoe vnutrennee golovotyapstvo. ("Akela promahnulsya.")

     4. Programmno-apparatnaya neispravnost'. ("Lomaetsya vse.")

     Kak  legko dogadat'sya, ot  "kazachka" zashchitit'sya  nevozmozhno v principe.
Ponizit'  veroyatnost'  "polomok"  mozhno vlozhiv  den'gi  v  bolee  dorogoe  i
nadezhnoe  oborudovanie.  Otkazy   iz-za  oshibki   obsluzhivayushchego  personala,
administratora,  programmista  -  neizbezhny  i regulyarny, veroyatnost'  ih  -
naibolee vysokaya, po sravneniyu so vsemi ostal'nymi bedami.

     V  svete  perechislennogo  -  bor'ba s  hakerami stanovitsya uzhe ne stol'
aktual'noj, i pokupka ochen' nadezhnogo, i ochen' dorogogo fajrvolla - vozmozhno
uzhe ne pokazhetsya vam  panaceej ot vseh bed.  Konechno  priyatno imet'  v svoem
dachnom  domike stal'nuyu  bronebojnuyu dver'. No esli  steny - iz fanery, esli
okna - zakryty na kryuchok iz provoloki, esli k cherdaku pristavlena lestnica -
to zlodej  vse ravno proniknet  vo vnutr'. Tak ne luchshe li vmesto  pokupaniya
stal'noj  dveri,  kupit'  dver'  derevyannuyu  no  s   horoshim  zamkom,  a  na
sekonomlennuyu  summu kupit' ramy s reshetkoj i zamok dlya cherdaka?  Vozrashchayas'
ot analogij - sekonomiv den'gi na fajrvolle (a ceny na kommercheskij fajrvoll
idut nahodyatsya v intervale ot 10  do 30  tysyach dollarov), mozhno ih vlozhit' s
bol'shej (dlya obespecheniya nadezhnosti) otdachej  - v  oborudovanie,  v obuchenie
sotrudnikov,  v  povyshennuyu   zarplatu,  na   kotoruyu   mozhno  budet  nanyat'
kvalificirovannogo    administratora,   delayushchego   men'she    oshibok,    chem
novichok-samouchka.



     Spamery, rassylayushchie  po  vsemu  svetu  svoi reklamnye pis'ma davno  ne
pol'zuyutsya  svoimi sobstvennymi  vydelennymi pochtovymi serverami. Potomu chto
ih  mgnovenno  zasekayut  i  otklyuchayut  provajdery.  A  provajdery  otklyuchayut
spamerov, chtob samim  ne ostat'sya v  izolyacii,  potomu, chto  esli oni eto ne
sdelayut, to sosedi  perestanut prinimat'  ot provajderov-narushitelej _lyubuyu_
pochtu. Sprashivaetsya -  pochemu v Moskve  mezhdu  nekotorymi  adresami ne hodit
pochta? (Ne budu utochnyat', mezhdu kem i kem,  chtob ne obvinit' nevinovnyh - no
pol'zovateli konechno znayut eti neprohodimye  adresa.)  Potomu chto koe-kto iz
nashih  provajderov  ne v  sostoyanii pridavit'  zavedshihsya  u  nih  spamerov.
Sovremennyj spamer nahodit  chuzhoj pochtovyj server, v kotorom (po  nedosmotru
sistemnogo  administratora)  razreshen relaying  (peresylka pochty  ot "chuzhih"
adresov na  "chuzhie" adresa). CHto pozvolyaet spameru poslat'  cherez etu mashinu
spam po vsemu miru.

     Zadumaemsya  na  sekundu -  chto proizojdet  s mashinoj,  kotoroj poruchili
razoslat' pis'ma  po spisku v neskol'ko  soten tysyach  adresov.  V principe -
nichego  osobo strashnogo  - pis'ma osyadut  v ocheredi (nemalen'koj)  i  mashina
budet ih potihon'ku rassylat' - po neskol'ko desyatkov  edinovremenno i tak v
techenii  neskol'kih  dnej.   Grozit'  vam  eto  budet  -  sil'noj  zagruzkoj
processora i vyhodnogo internetovskogo kanala, a takzhe - baaal'shim schetom ot
provajdera za zarubezhnyj traffik. No eto tol'ko nachalo.

     Sredi  soten  tysyach  adresov  - procentov 20 - yavlyayutsya  ustarevshimi  i
nedejstvitel'nymi. Na kazhdoe nedostavlennoe pis'mo mashina poluchit  pis'mo ot
mailer-demona - o nedostavke soobshcheniya. I pojdut oni sploshnym potokom tysyachi
zaprosov  na  soedinenie  edinovremenno.  Poluchaem  klassicheskij  DoS  -  na
SMTP-shnyj  port svalivaetsya  ogromnoe kolichestvo zaprosov  s kotorymi mashina
spravit'sya ne uspevaet. Unix-y obychno  eto perenosyat s bol'shim trudom, tratya
VSE  svoi  sily na  priem pochty  -  pri etom prekrashchaya  obsluzhivat'  obychnyh
posetitelej. Windows NT - garantirovanno umiraet.

     Usugublyaet  raznicu  to, chto sovremennye versii setevyh  Unix - Linux i
FreeBSD po umolchaniyu  stavyatsya  s otklyuchennym relayng'om, a Windows NT  -  s
razreshennym.

     Pechal'naya istoriya: odin moj znakomyj  provajder zhalovalsya, chto klienty,
kotoryh  on  podklyuchal  na  etoj  nedele  vydelennymi  kanalam  dostali  ego
zhalobami:  "slomalas', ne  rabotaet pochta, pomogite". Vse pyat' klientov, kak
odin. Kazhdyj pered etim reshil  postavit' svoj sobstvennyj pochovyj server. Na
Windows NT.




     Ne  podumajte,   chto  ya  neposledovatelen,  i  prizyvayu   naplevat'  na
bezopasnost'    vykinut'    fajvolly     i    zanimat'sya    vmesto     etogo
administrativno-hozyajstvennymi voprosami. Konechno net. I fajrvoll nuzhen, i o
hakerah nado  ne zabyvat'.  Prosto  nado  smotret'  na problemu  kompleksno,
sbalansirovanno raspredelyat' resursy, i ne zabyvat' o _vseh_ uzkih mestah. I
o hakerah - tozhe.

     Nyneshnij  srednestaticheskij  vzlomshchik  -  hakerom  v bol'shinstve  svoem
nazyvat'sya ne imeet prava. |to obychnyj podrostok ili  nedouchivshijsya student,
mesta  v  zhizni  ne  nashedshij. Dlya  bol'shinstva obnaruzhennyh  v operacionnyh
sistemah  dyr uzhe  napisany  programmy,  kotorye sami proshchupyvayut okruzhayushchie
hosty,  sami opredelyayut v nih  nalichie dyrok, sami lomayut, sami zakidyvayut v
prolomannuyu dyru kryuchki i zakladki. CHtob stat' "hakerom" teper' - dostatochno
nakovyryat'  sebe  etih  programm  posvezhee,  a  dal'she  ostaetsya  prosto  ih
zapuskat' i nazhimat' knopku "Ok".

     CHtoby  zashchitit'sya   ot   takih   vzlomshchikov,   dostatochno   vnimatel'no
otslezhivat' listy-rassylki  s opoveshcheniyami  ob obnaruzhennyh  dyrkah  v svoej
operacionnoj sisteme i zatykat' ih _SRAZU_. Obychno dyrki, eksplojty  dlya nih
i zaplatki dlya nih zhe  stanovyatsya  izvestny prakticheski odnovremenno, i esli
ne  tormozit' i zatykat' vse po mere  obnaruzheniya,  to na  vzlom  etoj  dyry
hakeram ostanetsya ne tak uzh mnogo vremeni.

     Stav'te patchi-zaplatki


     Samoe  nezashchishchennoe  sostoyanie servera -  v  moment ego  installyacii  i
nachal'noj konfiguracii. LYUBAYA svezhe-proinstallirovannaya operacionnaya sistema
imeet dyrki v bezopasnosti  -  poskol'ku  distributiv byl napechatan davno, a
secutity-patchi, poyavivshiesya s teh por nado stavit' dopolnitel'no.

     Na  vremya   installyacii   operacionnoj   sistemy   na   internet-server
OBYAZATELXNO otklyuchite ego ot interneta

     Pechal'naya  istoriya:  Odin  moj  znakomyj  konfiguril   server  pryamo  v
internete. Ego nashchupali i vzlomali srazu -  v  tot kratkij promezhutok, okolo
15 minut kogda u nego uzhe byl vklyuchen IP-routing, no  eshche ne byli dostavleny
patchi. Nikto za nim special'no ne ohotilsya - prosto kakie-to umel'cy  gonyali
v eto  vremya  skaniruyushchuyu  programmu  i  sluchajno  natolknulis' na ego host.
Skvoz'  dyrku  v  imap4 emu zakinuli  na mashinu  root-toolkit - eta  sistema
zamenyaet mnogie privychnye yuniksovskie komandy na svoi versii - s  troyancami.
Pri  etom  podmenyayutsya komady tipa  ls (prosmotr direktorij),  ps  (prosmotr
zapushchennyh zadanij) i drugie, i oni pryachut i ne pokazyvayut rezul'taty raboty
hakerskoj  programmy -  t.e.  vzlomshchik  stanovitsya "nevidimym"  dlya  hozyaina
mashiny. A  hakerskaya programma  mezhdu tem zanyalas'  skanirovaniem  lokal'noj
seti  i podsmatrivaniem  parolej, kotorymi  pol'zovateli hodili  na sosednie
komp'yutery...


     Defoltnaya    konfiguraciya    svezheproinstallirovannogo    yuniks-servera
raschitana dlya  druzhestvennoj  setevoj  sredy.  Mnogie  servisy  nahodyatsya  v
otkrytom   sostoyanii  (t.e.  "vsem   mozhno")  -  chto  udobno   v   lokal'noj
korporativnoj seti, no absolyutno nepriemlemo v seti obshchego dostupa.

     OBYAZATELXNO  perevesti mashinu iz rasslablennogo  rezhima po  umolchaniyu v
rezhim  strogoj  bezopasnosti  (t.e.  zapreshcheno vse i vse, komu eto yavnoe  ne
razresheno |to  kasaetsya  vseh setevyh sluzhb -  nachinaya s udalennogo logina i
ftp i konchaya printerom i komadami talk, finger i t.d.

     Veselaya istoriya:  Kogda ya vystavil  svoj  uzhe dokonfigurennyj  server v
obshchij dostup,  v pervye zhe chasy v ego  logah  zapisalis'  popytki  udalennyh
loginov i podbora parolej iz YAponii i Pol'shi.




     Poluchaetsya,     chto     hakery      brodyat     tolpami,     vooruzhennye
programmami-skanerami, oshibat'sya - nel'zya, vzlomat'  ili hotya by  zavalit' -
mogut prakticheski kazhdogo, i net zashchity. Kak zhe zhit' to togda?

     Smotrite  na zhizn'  proshche.  V konce  kncov - po rela'nym ulicam  nashego
real'nogo goroda  hodyat huligany i man'yaki, hodyat s dubinkami i pistoletami.
Kazhdyj iz nas  mozhet  slopotat' po fizionomii, da i prosto zarezat'  mogut v
podvorotne  -  ili  v kvartire  okna  pobit',  i nikakoj zashchity ne budet. Ne
stanesh' ved'  hodit' vsyu zhizn'  v  bronezhilete i s dvumya telohranitelyami  za
spinoj. Odnako zhe zhivem, ne boimsya -  ne tak strashen chert, kak  ego  malyuyut,
normal'nyh  lyudej -  bol'shinstvo, huliganov na  vseh  nikak ne hvatit  - nas
spasaet princip  "neulovimogo Dzho". A tak  zhe  - razumnaya ostorozhnost',  i -
gramotnye sistemnye administratory operacionnoj sistemy Unix.





---------------------------------------------------------------
     © Copyright Maksim Moshkov
     Email: moshkow@ipsun.ras.ru
     WWW: http://lib.ru/~moshkow/
     Date: 13 Jun 1999
     Origin: http://lib.ru/SECURITY/securedacha.txt
     Radakciya: Mihail YAkubov (qub@qub.com)
---------------------------------------------------------------





     Starozhily Runeta, navernoe, pomnyat eshche te vremena, kogda i Runeta-to ne
bylo, vebstranichki  na  russkom ischislyalis' sotnej shtuk,  a russkih serverov
bylo  to li dvadcat', to li pyat'desyat. Davno li eto bylo? Vsego lish' 5-6 let
nazad.
     Poigraem v associacii. Puskaj bol'shaya, nevirtual'naya zhizn' - eto gorod.
Gorod Moskva. S zavodami,  institutami i zhitejskimi zabotami. A  Internet  -
eto dachi. V otpuskah,  v  svobodnoe  ot  raboty  vremya, "samozahvatom",  ili
organizovanno - nachinayushchie dachniki zaselyali okrestnye servera, polivali svoi
ogorodiki i menyalis' drug s  drugom sazhencami  i redkimi  sortami tyul'panov.
Kto-to skolachival  iz  podruchnyh lesin,  natyrennyh na  strojke  v  sosednej
oblasti, hibarku, kto-to podgonyal kazennyj gruzovichok i otstraival kirpichnuyu
dachku. K starozhilam priezzhali  iz goroda znakomye  i  rodstvenniki pogostit'
i...  ostavalis'   tozhe,  narezaya  uchastochki-homyachki  po   sosedstvu.  Tihaya
patriarhal'naya  zhizn' narushalas' regulyarnymi bytovymi ssorami i zamireniyami,
nu  a  milicii  v  teh  krayah  otrodyas' ne  bylo. Da  i ot  kogo  tut  nuzhny
milicionery? Ubijstv,  ograblenij i  huliganstva -  ne  nablyudalos', a kogda
navedyvalis'  redkie  bomzhi, s  kotorymi  ne spravlyalsya mestnyj  storozh,  iz
sosednego  sovhoza  "Krasnyj  Relkom"   na  motorollere   priezzhali  krepkie
rebyata-mehanizatory i vyshibali neproshennyh gostej k chertovoj babushke.
     My  zhili  v  te vremena.  My  rasslabilis'  i  privykli  k spokojnoj  i
bezopasnoj  zhizni,  k  tomu,  chto  kalitki na  uchastkah  otkryty,  a doma ne
zapirayutsya,  okna  raspahnuty,  i  cvetochki,  vysazhennye  vdol'  zabora,  ne
vytaptyvaet sosedskij molodnyak.
     I  proshlo  vsego  chetyre  goda,  i my vdrug  obnaruzhili,  chto  polovina
okrestnyh polej zastroeny krepkimi kirpichnymi kottedzhikami, za nashim zaborom
gde 40 hatok raskinulsya dachnyj poselok na  5,000 trehetazhnyh domov, i gorod,
iz kotorogo my  bezhali,  prishel  k  nam vnov', so  vsemi svoimi  problemami.
Huliganstvo? Pozhalujsta. Draka v preulke, krazhi so vzlomom? Skol'ko  ugodno.
Nastala pora ochnut'sya i osmotret'sya. I privykat' zhit' v novom, sovsem uzhe ne
virtual'nom  mire.  Russkij Internet stal  sovsem  kak  nastoyashchij  mir  -  s
zavodami, magazinami i zhitejskimi zabotami.






     YA  ne  sobirayus' rassmatrivat'  zdes'  problemy  zashchity  setej  krupnyh
kommercheskih  firm. Deneg u  nih  obychno hvataet  na  to,  chtoby kupit' sebe
nadezhnyj i dorogoj fajrvoll. Mne interesnee ocenit' nashi s vami  problemy  -
problemy  prostyh pol'zovatelej  seti, administratorov veb-serverov i melkih
provajderov.
     Vryad  li pri  vzlome nashej  sistemy my  riskuem  bol'shimi  den'gami. Ne
dumayu, chto na nashem servere  hranitsya nevospolnimaya informaciya. Vse  proshche i
prozaichnee. Lyuboj vzlom obhoditsya administratoru v bol'shie poteri lichnogo  i
rabochego vremeni.
     Vzlomannyj server nel'zya  ispol'zovat'  dal'she. Vylovit' vse  vozmozhnye
hakerskie  zakladki  i troyanskih konej -  delo nelegkoe.  A samoe  glavnoe -
nel'zya byt' stoprocentno uverennym v uspehe.
     Poetomu  posle  vzloma  doroga u  nas  odna --  polnaya  pereinstallyaciya
sistemy  s   nulya.  Ustanovka  operacionki  i  vsego   prikladnogo  softa  s
ditributivov.  A takogo  softa pochti vsegda -  mnogo.  I  nastrojka  ego pod
konkretnoe okruzhenie tozhe delo ne mgnovennoe. Po drugomu ne poluchitsya, a eto
neskol'ko chasov raboty, a inogda -- neskol'ko dnej.

     Itak, poteri  ot  vzloma  dlya  obychnogo nekommercheskogo  servera -  eto
potrachennoe  vremya  i  trata  sil.  Dlya  kommercheskogo  -  eto  nedovol'stvo
klientov, udar po prestizhu, a  mozhet byt',  dazhe i  po  karmanu.  I konechno,
opyat'  lishniya  trata sil  -  cennye tehnicheskie specialisty  vmesto  resheniya
planovyh zadach budut vosstanavlivat'  sistemu, poluchaya za eto svoyu otnyud' ne
malen'kuyu zarplatu.







     Perechislyu neskol'ko ustojchivyh zabluzhdenij i mifov,  bytuyushchih v svyazi s
Internetom v golovah ryadovyh pol'zovatelej.

     Govoryat,  chto  v  internete krome pornuhi nichego ne najti. I tol'ko  za
eroticheskimi kartinkami narod po seti i sharitsya.

     Govorit' takuyu chepuhu mozhet tol'ko  tot,  kto nikogda ne pytalsya  najti
dostojnyj i  interesnyj pornoserver. A kto pytalsya, tot  uzhe znaet - vse chto
ugodno  krome,  cherta  lysogo  proshche najti,  chem server s kartinkami,  a  ne
server,  gde  vam  pokazhut  tysyachi durackih bannerov  i budut dolgo klyanchit'
nomer kreditki, kotoroj u vas vse ravno net.

     Govoryat,  chto  s  perepiskoj  po  email'u  nado  byt'  ostorozhnym, ved'
kto-nibud' mozhet poslat' vashemu drugu ot vashego  imeni vsyakie gadosti, a ego
otvety perehvatyvat', chtob ne dat' emu proyasnit' situaciyu.

     Da,   dejstvitel'no,  bytovaya  perepiska   peredaetsya  po  internetu  v
nezashifrovannom  vide,  ee  mozhno  perehvatit'  i  podsmotret'  na  pochtovom
servere, i  dazhe sfal'sificirovat'.  Tol'ko  dlya zanyatiya  etim nuzhna vysokaya
kvalifikaciya i dostup k etomu serveru. A ego mogut poluchit' lyudi tol'ko treh
professij:  sisadmin  -  kotoryj  s  gorazdo  bol'shim interesom  poigraet  v
svobodnoe vremya  v  Quake,  haker -  kotoromu  nedosug zanimat'sya glupostyami
(ved' zarubku na klaviature stavyat ne za prochtennoe pis'mo, a za  vzlomannyj
server), i, nakonec, te-komu-polozheno. No vy ved' ne akademik Saharov.

     Eshche govoryat,  po seti kradutsya hakery, vzlamyvaya vse podryad, vykradyvaya
iz  komp'yuterov  den'gi,  bilety, telefony lyubovnic,  i stalkivaya  s  orbity
kosmicheskie sputniki.

     Ne  ver'te. |to  poklep. Den'gi  tratyatsya sami soboj, bilety  -  prosto
teryayutsya, a kosmicheskie sputniki po TCP/IP zavalivat' ne obyazatel'no - oni i
sami padayut.

     I, nakonec,  samoe opasnoe  zabluzhdenie: govoryat, internetovskij server
mozhno sdelat' na baze Windows NT.

     Opasno  eto  zabluzhdenie  tem,  chto  prinosit problem  bol'she, chem  vse
hakerskie ataki vmeste vzyatye, i garantiruet  vse te zhe  nepriyatnosti, chto i
ot  vzloma  sistemy:  poterya  rabotosposobnosti,  otkazy,  zavisaniya, i  kak
sledstvie - sizifovy trudy i pot, pereinstallyaciya sistemy i poterya klientov.




     V  realizacii  protokolov  TCP/IP  est'  neskol'ko dovol'no  nepriyatnyh
nedorabotok,  vlekut za soboj  dyrki v  bezopasnosti  Internet-hosta, prichem
est'  sredi  nih  i  takie,  kotorye  slozhno  ili  dazhe  nevozmozhno  zakryt'
polnost'yu.

     Sistema DNS  (opredelenie  IP-adresa  po  domennomu  imeni  komp'yutera)
"verit"  pervomu  zhe  otkliknuvshemusya  na  zapros  name-serveru, i ee  mozhno
obmanut', otvet  sfal'sificirovav. Prichem obmanut'  mozhno ne tol'ko otdel'no
vzyatuyu klientskuyu  mashinu,  no  i  server  DNS,  "nakormiv"  ego  fal'shivymi
adresami.  Obmanutyj  server nachnet  peredavat'  "fal'shivuyu" informaciyu vsem
svoim klientam, chto osobenno bolezneno, esli eto krupnyj provajderskij uzel,
kotorym pol'zuyutsya klienty etogo provajdera.

     Zashchity ot takogo metoda ataki net, i  ego shiroko primenyayut  dlya podmeny
populyarnyh veb-serverov. Esli vy vstretite soobshchenie  o tom,  chto  "golovnaya
stranica servera imyarek zamenena stranicej s prizyvami (prizyvy ne propushcheny
cenzuroj)"  -  to devyat' prtiv odnogo za to, chto  eto sdelano podmenoj  DNS.
Edinstvennoe kardinal'noe  lechenie etoj dyry -  perevod  vseh DNS-serverov v
mire na named  versii 8. |to process  dlitel'nyj  i boleznennyj, i konca emu
poka ne vidno.

     Ko mnogim serveram primenim celyj nabor  DoS-atak (Denial of Service) -
obrazno govorya,  eto vse rakno kak "zakidat' bananovymi shkurkami". Atakuyushchij
generit bol'shoj potok zaprosov na server, server ne uspevaet ih obrabatyvat'
i zabivaet svoi vhodnye ocheredi otvetami-v-nikuda, real'nym zhe pol'zovatelyam
v ocheredyah  uzhe ne ostaetsya  mesta. |to mozhet byt' i SYN-ataka  - zabivayushchaya
priemnuyu   ochered'  TCP-paketov   na  nizkom   urovne,  a   mozhet  banal'noe
"zadavlivanie" veb-servera bol'shim potokom prostyh HTTP-zaprosov.

     S  tochki  zreniya   opredelenij   zavalivanie  servera   DoS-atakoj  ili
DNS-podmenoj nel'zya nazvat' vzlomom v chistom  vide. No v  tom-to i beda, chto
dlya atakovannogo  sajta rezul'tat odin i tot zhe  -  chto pri  vzlome, chto pri
zavale, chto pri banal'nom otkaze po prichine  oshibok  samogo  administratora:
server  molchit,  posetiteli  ne mogut  na  nego  popast',  administratoru  -
golovnaya bol' i bor'ba s neispravnostyami, a nachal'stvu - otmyvanie mundira i
denezhnye problemy, vse eto -- s garantiej.

     A  raz tak, to nespecialistam (to est' podavlyayushchemu bol'shinstvu)  mozhno
ne tratit'  vremya i ne zabivat'  sebe  golovu izucheniem, kakie tipy,  vidy i
podvidy vzlomov,  atak  i t.  d.  sushchestvuyut. Nepriyatnosti  vo  vseh sluchayah
poluchayutsya sovershenno  identichnye.  Zato, pozhaluj, stoit proklassificirovat'
prichiny otkaza sistemy.

     1. Zlonamerennoe vneshnee vmeshatel'stvo ("Haker")

     2. Zlonamerennoe vnutrennee vmeshatel'stvo ("Zaslannyj kazachok")

     3. Neprednamerenoe vnutrennee golovotyapstvo ("Akela promahnulsya")

     4. Programmno-apparatnaya neispravnost' ("Lomaetsya vse")

     Kak legko  dogadat'sya, ot  "kazachka" zashchitit'sya  nevozmozhno v principe.
Ponizit'  veroyatnost' "polomok"  mozhno,  vlozhiv  den'gi  v  bolee  dorogoe i
nadezhnoe  oborudovanie.  Otkazy   iz-za  oshibki   obsluzhivayushchego  personala,
administratora,  programmista -  neizbezhny  i regulyarny, veroyatnost' ih,  po
sravneniyu so vsemi ostal'nymi bedami, naibolee vysokaya.

     V etom svete bor'ba  s hakerami stanovitsya uzhe ne stol' aktual'noj, shum
vokrug nih kazhetsya neproporcional'no gromkim,  i pokupka  ochen' nadezhnogo (i
ochen' dorogogo) fajrvolla, vozmozhno, uzhe  ne pokazhetsya vam panaceej  ot vseh
bed. Konechno, priyatno  imet' v  svoem  dachnom  domike  stal'nuyu  bronebojnuyu
dver'. No esli steny - iz  fanery, esli okna zakryty na kryuchok iz provoloki,
esli  k cherdaku pristavlena lestnica - to zlodej vse ravno proniknet vnutr'.
Tak ne luchshe li vmesto pokupki stal'noj dveri  kupit' dver' derevyannuyu no  s
horoshim zamkom, a na sekonomlennuyu summu kupit' ramy s reshetkoj i zamok  dlya
cherdaka?  Voploshchaya  analogii -  sekonomiv  den'gi  na fajrvolle  (a  ceny na
kommercheskij  fajrvoll  nahodyatsya  v intervale  ot 10 do 30 tysyach dollarov),
mozhno  ih  vlozhit'  s  bol'shej (dlya  obespecheniya  nadezhnosti)  otdachej  -  v
oborudovanie, v  obuchenie  sotrudnikov,  v povyshennuyu zarplatu,  na  kotoruyu
mozhno  budet  nanyat'  kvalificirovannogo  administratora,  delayushchego  men'she
oshibok, chem novichok-samouchka.





     Spamery,  rassylayushchie po vsemu  svetu svoi reklamnye  pis'ma, davno  ne
pol'zuyutsya svoimi  sobstvennymi vydelennymi pochtovymi serverami.  Potomu chto
ih  mgnovenno  zasekayut  i  otklyuchayut  provajdery.  A  provajdery  otklyuchayut
spamerov,  chtob  samim ne ostat'sya v izolyacii, potomu  chto esli oni etogo ne
sdelayut,  to sosedi  perestanut prinimat' ot provajderov-narushitelej _lyubuyu_
pochtu. Sprashivaetsya -  pochemu v Moskve mezhdu  nekotorymi  adresami ne  hodit
pochta? (Ne budu utochnyat', mezhdu kem i kem, chtob ne  obvinit' nevinovnyh - no
pol'zovateli, konechno, znayut eti neprohodimye adresa.) Potomu chto koe-kto iz
nashih  provajderov  ne  v  sostoyanii  pridavit'  zavedshihsya u nih  spamerov.
Sovremennyj spamer  nahodit chuzhoj pochtovyj server, v  kotorom (po nedosmotru
sistemnogo  administratora)  razreshen relaying (peresylka pochty  ot  "chuzhih"
adresov na  "chuzhie"  adresa). CHto pozvolyaet spameru poslat' cherez etu mashinu
spam po vsemu miru.

     Zadumaemsya na sekundu  - chto  proizojdet  s  mashinoj, kotoroj  poruchili
razoslat' pis'ma po  spisku  v neskol'ko  soten tysyach  adresov. V  principe,
nichego  osobo  strashnogo  - pis'ma osyadut v ocheredi (nemalen'koj),  i mashina
budet ih potihon'ku, po neskol'ko desyatkov edinovremenno, rassylat' -- i tak
v  techenii  neskol'kih  dnej.  Grozit'  vam   eto  budet  sil'noj  zagruzkoj
processora i vyhodnogo internetovskogo kanala, a takzhe - baaal'shim schetom ot
provajdera za zarubezhnyj traffik. No eto tol'ko nachalo.

     Sredi soten  tysyach adresov - procentov  20  -  yavlyayutsya  ustarevshimi  i
nedejstvitel'nymi. Na kazhdoe nedostavlennoe pis'mo mashina  poluchit pis'mo ot
"demona-pochtarya" (mailer-daemon) -  o nedostavke  soobshcheniya.  I  pojdut  oni
sploshnym potokom,  tysyachi zaprosov  na  soedinenie  edinovremenno.  Poluchaem
klassicheskij  DoS  -  na  SMTP-shnyj  port  svalivaetsya  ogromnoe  kolichestvo
zaprosov  s  kotorymi  mashina  spravit'sya  ne  uspevaet.  Unix-y  obychno eto
perenosyat s bol'shim trudom, tratya VSE svoi  sily na priem pochty  - pri  etom
prekrashchaya obsluzhivat'  obychnyh  posetitelej.  Windows  NT  -  garantirovanno
umiraet. Usugublyaet raznicu  to, chto sovremennye versii setevyh Unix - Linux
i FreeBSD  po  umolchaniyu stavyatsya s otklyuchennym relayng'om, a Windows NT - s
razreshennym.

     Pechal'naya istoriya: odin  moj znakomyj provajder zhalovalsya, chto klienty,
kotoryh on  podklyuchal  na etoj  nedele  po vydelennomu kanalu,  dostali  ego
zhalobami:  "slomalas', ne rabotaet  pochta, pomogite". Vse pyat' klientov, kak
odin.  Kazhdyj pered etim reshil postavit' svoj sobstvennyj pochovyj server. Na
Windows NT.






     Ne  podumajte,   chto   ya  neposledovatelen  i  prizyvayu   naplevat'  na
bezopasnost',    vykinut'    fajvolly     i    zanimat'sya    vmesto    etogo
administrativno-hozyajstvennymi voprosami. Konechno net. I fajrvoll nuzhen, i o
hakerah nado  ne  zabyvat'.  Prosto nado smotret'  na  problemu  kompleksno,
sbalansirovanno raspredelyat' resursy, i ne zabyvat' obo _vseh_ uzkih mestah.
I o hakerah - tozhe.

     Nyneshnij   srednestaticheskij   vzlomshchik  hakerom  v  bol'shinstve  svoem
nazyvat'sya ne imeet prava. |to  obychnyj podrostok ili nedouchivshijsya student,
mesta  v  zhizni  ne nashedshij.  Dlya bol'shinstva  obnaruzhennyh  v operacionnyh
sistemah dyr uzhe  napisany programmy,  kotorye  sami proshchupyvayut  okruzhayushchie
hosty, sami  opredelyayut v nih nalichie dyrok, sami lomayut, sami  zakidyvayut v
prolomannuyu dyru kryuchki  i zakladki. CHtob stat' "hakerom" teper', dostatochno
nakovyryat'  sebe  etih  programm  posvezhee,  a  dal'she  ostaetsya  prosto  ih
zapuskat' i nazhimat' knopku "Ok".

     CHtoby   zashchitit'sya   ot  takih   vzlomshchikov,   dostatochno   vnimatel'no
otslezhivat'  listy-rassylki s opoveshcheniyami  ob  obnaruzhennyh  dyrkah v svoej
operacionnoj sisteme  i zatykat' ih _SRAZU_. Obychno dyrki, eksplojty  (t. e.
sposby  ispol'zovaniya  dyrok)  i  zaplatki dlya nih  zhe  stanovyatsya  izvestny
prakticheski  odnovremenno,  i  esli  ne  tormozit' i  zatykat'  vse po  mere
obnaruzheniya, to na prolom cherez ocherednuyu dyru  hakeram ostanetsya ne  tak uzh
mnogo vremeni.




     Samoe nezashchishchennoe sostoyanie servera  -  v  moment  ego  installyacii  i
nachal'noj konfiguracii. LYUBAYA svezhe-proinstallirovannaya operacionnaya sistema
imeet dyrki v bezopasnosti -  poskol'ku distributiv  byl napechatan  davno, a
security-patchi, poyavivshiesya s teh por, nado stavit' dopolnitel'no.

     Na   vremya   installyacii   operacionnoj   sistemy  na   internet-server
OBYAZATELXNO otklyuchite ego ot Interneta.

     Pechal'naya  istoriya:  Odin  moj   znakomyj  nastraival  server  pryamo  v
Internete. Ego  nashchupali i  vzlomali srazu,  v tot kratkij promezhutok (vsego
okolo 15 minut)  poka u nego  uzhe  byl vklyuchen  IP-routing, no eshche  ne  byli
dostavleny  zaplatki. Nikto za nim  special'no  ne ohotilsya, prosto kakie-to
umel'cy gonyali v eto  vremya skaniruyushchuyu programmu i sluchajno natolknulis' na
ego mashinu. Skvoz' dyrku v imap4 emu zakinuli  na mashinu  root-toolkit - eta
sistema  zamenyaet  mnogie privychnye  yuniksovskie komandy  na svoi versii,  s
troyancami.  Pri  etom podmenyayutsya komady tipa ls (prosmotr  direktorij),  ps
(prosmotr  zapushchennyh  zadanij)  i  drugie,  i  oni  pryachut,  ne  pokazyvayut
rezul'taty raboty hakerskoj  programmy.  Takim  obrazom, vzlomshchik stanovitsya
"nevidimym" dlya hozyaina  mashiny, a ustanovlennaya im hakerskaya  programma tem
vremenem uzhe zanyalas' skanirovaniem lokal'noj seti i podslushivaniem parolej,
s kotorymi pol'zovateli hodili na sosednie komp'yutery...

     Konfiguraciya   po  umolchaniyu  svezheproinstallirovannogo   YUniks-servera
raschitana  na druzhestvennoe  setevoe  okruzhenie. Mnogie servisy  nahodyatsya v
otkrytom sostoyanii (t. e. v polozhenii "vsem mozhno") - chto udobno v lokal'noj
korporativnoj  seti,  no  absolyutno  nepriemlemo   v  seti  obshchego  dostupa.
Neobhodimo   OBYAZATELXNO   perevesti  mashinu  iz  rasslablennogo  rezhima  po
umolchaniyu v rezhim  strogoj bezopasnosti (t. e.  kogda zapreshcheno  vse i vsem,
komu eto yavno ne  razresheno).  |to kasaetsya vseh setevyh sluzhb  - nachinaya  s
udalennogo logina i FTP i konchaya printerom i komadami talk, finger i t. p.

     Veselaya istoriya:  Kogda ya vystavil  svoj uzhe dokonfigurennyj  server  v
obshchij dostup,  v pervye zhe  chasy v  ego  logah zapisalis' popytki  udalennyh
loginov i podbora parolej iz YAponii i Pol'shi.





     Poluchaetsya,     chto     hakery     brodyat      tolpami,     vooruzhennye
programmami-skanerami,  oshibat'sya -  nel'zya, vzlomat' ili hotya by zavalit' -
mogut prakticheski kazhdogo, i net zashchity. Kak zhe zhit' to togda?

     Smotrite na zhizn' proshche. V  konce  kncov  - po  rela'nym ulicam  nashego
real'nogo goroda hodyat huligany i man'yaki,  hodyat s dubinkami i pistoletami.
Kazhdyj iz nas mozhet slopotat'  po fizionomii, da  i  prosto zarezat' mogut v
podvorotne  - ili  v  kvartire  okna  pobit', i nikakoj zashchity ne budet.  Ne
stanesh'  ved' hodit'  vsyu zhizn' v  bronezhilete i s  dvumya telohranitelyami za
spinoj. Odnako zhe zhivem,  ne boimsya. Ne  tak strashen chert,  kak ego  malyuyut,
normal'nyh  lyudej  - bol'shinstvo,  huliganov  na vseh nikak ne hvatit -  nas
spasaet  princip  "neulovimogo  Dzho".  A tak zhe -  razumnaya  ostorozhnost', i
gramotnye sistemnye administratory operacionnoj sistemy Unix.

Last-modified: Tue, 14 Sep 1999 04:46:19 GMT
Ocenite etot tekst: