Хроника хакерской атаки
Журнал "Сети", #02/2000
Дебора РЭДКЛИФФ
В один из тех ясных солнечных дней, что нередко выдаются в Александрии (шт. Виргиния) в конце ноября, на втором этаже скромно обставленного офиса компании ParaProtect склонившийся над монитором "хакер" Боб выдавал Unix-команды с такой скоростью, будто его руки лежали не на клавиатуре, а на спусковом крючке автомата.
Боб проверял на прочность периферийные средства защиты сертифицированной компании, специализирующейся на предоставлении услуг электронной почты в Internet и являющейся клиентом ParaProtect.
У молодых фирм, руководство которых решило заняться электронной коммерцией, как правило, недостаточно средств для оплаты полномасштабной атаки на корпоративную сеть, в ходе которой имитируются действия реальных хакеров и ключевые серверы компании выводятся из строя. Более того, такие фирмы в принципе не могут себе позволить перевести серверы в нерабочее состояние даже на минуту, хотя эта мера будет содействовать повышению уровня защищенности сети. Тем не менее одна из них решилась обратиться в ParaProtect - компанию, предоставляющую консалтинговые услуги в области информационной безопасности - для осуществления своеобразной разведывательной вылазки в корпоративную сеть.
По мнению экспертов, коммерческие услуги, моделирующие реальные хакерские атаки, являются идеальным отправным пунктом при проектировании систем сетевой защиты, поскольку "проникающие" тесты позволяют сформировать базу для разработки правил и стратегий защиты информации.
Современные корпоративные сети подвергаются нападениям со всех сторон - из Internet, через модемные соединения и даже со стороны нелояльного персонала, поэтому потребность в услугах вроде тех, что предоставляет ParaProtect, неуклонно растет.
Молодые представители индустрии электронной коммерции принадлежат к числу наиболее уязвимых компаний. Обостряющаяся конкуренция заставляет их как можно быстрее выходить на рынок с коммерческими продуктами, поэтому при развертывании сетевой инфраструктуры средствам защиты данных обычно не уделяется того внимания, какого они заслуживают.
"Нам приходится работать с организациями, у которых не установлены даже брандмауэры, - говорит Ян Пойнтер, президент консалтинговой компании Jerboa из Кембриджа. - Обычно это начинающие фирмы, только что получившие первые инвестиции. Они становятся легкой добычей для хакеров, и только после этого руководство начинает осознавать, что уровень защищенности корпоративной сети мог бы быть повыше".
В нашем случае единственный эшелон обороны компании-заказчика был представлен маршрутизатором серии 8000 производства Cisco Systems. Если бы это устройство оказалось в состоянии противостоять попыткам взломать сеть извне, компания смогла бы воспользоваться технической документацией, которая прилагается к отчету о тестировании, чтобы убедить своих клиентов в высокой защищенности серверных приложений, использующих инфраструктуру обмена ключами (PKI).
Однако сотрудники ParaProtect с самого начала были настроены скептически. "Мы никогда не согласимся с тем, что компания может обойтись без брандмауэра. Использование одного лишь маршрутизатора не позволяет защитить периферию сети, даже если это устройство обладает множеством интеллектуальных функций. Брандмауэры предлагают гораздо больше методов фильтрации пакетов, да и вообще, система информационной безопасности должна быть многоуровневой", - считает Роберт Перхольц, менеджер компании по работе с корпоративными клиентами.
Вот как развивались события в ходе атаки на сеть компании-заказчика, предпринятой сотрудником ParaProtect.
08:00
Кое-как расставленные столы и стулья в тестовой лаборатории ParaProtect имели мало общего с меблировкой респектабельного офиса. Сам Боб, с забранными в косичку волосами и длинной бородой вполне соответствовал образу непримиримого хакера.
Однако подобная атрибутика ввела меня в заблуждение ненадолго. До того как прийти в фирму, Боб служил компьютерным аналитиком в Департаменте систем информационной защиты Министерства обороны США. Его последняя должность в военном ведомстве - сотрудник группы реагирования на нарушения компьютерной защиты (CERT).
Боб считает, что первым шагом в деятельности, которой он теперь занимается, является подробное изучение сетевой инфраструктуры клиента. В данном случае он начал свои действия с посещения Web-сервера тестируемой компании, изобиловавшего сведениями о ее истории, корпоративной культуре и партнерах. На этом же этапе были исследованы электронные "реквизиты" партнеров, по которым частенько удается обнаружить дополнительные соединения с исследуемой сетью. Обычно информационные системы удаленных офисов или мелких партнерских компаний защищены гораздо слабее основной сети.
В ходе первого сканирования не обнаружилось ничего необычного. Поэтому Бобу пришлось обратиться к электронным реестрам InterNIC и ARIN, где содержатся сведения о доменных именах и адресах хост-компьютеров Всемирной сети, и выдать команду whois. В результате система тут же "выболтала" доменное имя нашего клиента, а кроме того, проверила корректность IP-адресов, на которые было направлено острие затевавшейся атаки. Мы не только узнали IP-адреса трех серверов компании-заказчика, но и получили другую ценную стратегическую информацию: краткие имена, используемые в компании вместо полных сетевых адресов, имена и телефоны сетевых администраторов.
По мнению Боба, сведений, добытых при помощи двух упомянутых сервисных систем, вполне достаточно, чтобы восстановить детальную конфигурацию тестируемой сети. Осталось только проверить данные, относящиеся к доменному имени нашей жертвы. Фирме ParaProtect пришлось бы быстро завершить свою деятельность, если бы она хоть раз по ошибке предприняла атаку не на тот объект.
09:36
Следующий шаг состоял в запуске утилиты traceroute, в качестве параметра которой последовательно фигурировал каждый из интересовавших нас IP-адресов. Как известно, программа traceroute может функционировать под управлением операционных систем UNIX и Windows NT и обычно используется сетевыми администраторами для отслеживания пакетов, передаваемых от источника к адресату. В ходе тестирования эта утилита сообщала, что маршрутизатор блокировал сгенерированные нами пакеты, т. е. позволяла убедиться в корректности его функционирования.
Тем не менее нам удалось пронаблюдать за исходящим трафиком, который был адресован на порт с определенным номером и служил для соединения сети заказчика с провайдером UUNET.
Теперь настало время обратиться к профессиональному инструментарию хакеров. В компании ParaProtect создано целое хранилище любимых программных "приспособлений" для сетевого взлома. Тем не менее для чистоты эксперимента Боб решил пойти по традиционному пути. Запустив одну из поисковых машин Internet и задав в качестве ключевых слов "hacker tools", он решил проверить, какая часть хакерского арсенала доступна любому желающему во Всемирной сети. Результаты поиска содержали ни много ни мало 2070 ссылок. Система обнаружила, в частности, такие программы, как пакет Shadow Advantis Administrator, позволяющий с требуемой периодичностью выдавать команды ping на заранее определенную группу портов. Эти команды могут следовать с невысокой частотой, а генерируемые ими пакеты столь малы, что обычно не регистрируются средствами защиты от внешних атак.
Мировой рынок услуг в области информационной безопасности
Однако Боб предпочитает использовать программу nmap, выполняющую практически те же функции. Эта утилита, также свободно доступная в Internet, исходно предназначалась для обнаружения IP-адресов. На самом же деле она является мощным средством сканирования трафика, проходящего через отдельные порты. Помимо выявления незащищенных портов, nmap способна изменять характеристики отправляемых пакетов с целью обхода установленного на маршрутизаторе IP-фильтра.
В течение дня Бобу пришлось несколько раз запустить утилиту nmap (относящаяся к ней техническая информация доступна на сервере www.insecure.org/nmap/) с различными опциями:
- SYN служит для установления сеанса TCP. Получив ответ на команду nmap с этим параметром, можно быть уверенным в том, что атакуемый хост-компьютер активен. Если же ответа на команду ping не поступает, хост заблокирован;
- FIN позволяет использовать пустой пакет в качестве зонда с целью определить, является порт открытым или закрытым. Зная параметры обычно используемых открытых портов, можно догадаться, какие из наиболее традиционных сервисов активны на атакуемом узле. Если же порт закрыт, он все равно обязан ответить на данную команду, отправив пакет RST. Если такой пакет поступит, значит, порт закрыт. Отсутствие ответа соответствует открытому порту;
- сканирование с использованием фрагментированных пакетов. Для анализа содержимого принятого пакета хост-компьютер должен предварительно собрать его из отдельных частей. Отправка на атакуемый сервер фрагментированных пакетов нарушает его работу и при определенных условиях позволяет обойти системы контроля доступа.
Первый запуск утилиты nmap с опцией SYN закончился неудачей, поскольку Боб задал в командной строке неверные параметры конфигурации; эту ошибку удалось исправить позднее. Тогда пришлось посетить сервер UUNET и при помощи подкоманды nslookup заставить систему доменных имен (DNS) этого сервера сообщить известные ему имена машин в атакуемой корпоративной сети. В ответ мы получили три доменных имени - "mail", "www" и еще одно, которое здесь не приводится, дабы не выдать название тестировавшейся фирмы.
Конечно, в атакуемой сети могли быть и другие компьютеры, однако в данном случае они нас не интересовали. Сервер DNS сообщил также, какой из известных нам трех IP-адресов относится к Web-узлу. С другой стороны, мы знали IP-адреса маршрутизатора, установленного на входе в корпоративную сеть. Отсюда нетрудно было догадаться, что третий адрес относится к proxy-серверу, отвечающему за обмен ключами.
Теперь уже можно было нарисовать диаграмму сети. Как мы и предполагали, маршрутизатор играл роль часового, охранявшего доступ к Web-серверу, proxy-серверу и еще одному серверу, который, по нашим прикидкам, отвечал за электронную почту. Оставалось выяснить, какие сетевые сервисы были запущены на каждом из серверов. Причина такого интереса проста: хакеры обычно ищут те сервисы, уязвимость которых неоднократно доказана на практике; они-то и подвергаются нападению в первую очередь.
Замаскировавшись под местного Internet-провайдера, Боб открыл сеанс telnet и выдал команду на порт 80. Хорошо известно, что этот порт открыт в 99 случаях из 100, поскольку именно его сетевые администраторы выделяют для Web-трафика. Команды сеанса telnet позволили узнать, какое программное обеспечение запущено на сервере HTTP. Им оказался пакет Internet Information Server 4.0 корпорации Microsoft. После этого не осталось никаких сомнений, что на сервере установлена операционная система Windows NT.
И тут зазвонил телефон. Администратор компании-клиента увидел в списке сообщений системы управления доступом предупреждение, выданное маршрутизатором. В нем фигурировал IP-адрес Internet-провайдера, подставленный Бобом в целях конспирации. Администратор решил удостовериться в том, что указанное предупреждение было вызвано нашими действиями, а не атакой настоящего хакера. Мы поспешили успокоить его.
Итак, наша жертва узнала, что кто-то настойчиво стучится в ее дверь. Боб решил не использовать стандартный метод последовательного сканирования портов, который в подобной ситуации мог отнять уйму времени. Вместо этого он запустил утилиту nmap с опцией FIN, распространив ее действие на все возможные порты - с номерами от 1 до 65 334.
"Подобная операция порождает множество данных, не относящихся к делу, - замечает Боб. - Однако чтобы последовательно "просканировать" все порты да еще миновать систему контроля доступа, придется убить несколько дней. Нам же дано всего двое суток, так что придется делать все сразу".
Сканирование не выявило ничего примечательного. На серверах работали только стандартные сервисы вроде FTP и HTTP, а это означало, что мы имеем дело с типичной конфигурацией. Тем не менее даже в этом простейшем случае любая ошибка администратора при настройке конфигурации FTP-сервера или иной стандартной службы может быть использована хакером в самых неблаговидных целях.
12:30
Самое время для перерыва, и за коротким ланчем Боб поделился со мной планами дальнейших действий. Они могли бы состоять в выявлении наиболее уязвимых мест на уровне сети, серверных операционных систем и отдельных приложений. Впрочем, столь скрупулезный анализ в данном случае оказался ни к чему. На самом деле основная часть работы была уже выполнена, и несведущий читатель может только подивиться тому, с какой легкостью машины под Windows NT или UNIX раскрывают свои секреты.
На весьма продвинутых курсах по сетевым атакам, которые прошлым летом организовала в Хьюстоне компания Ernst & Young, присутствовавшие с потрясающей непринужденностью разбились на две группы, которые работали в средах Windows NT и UNIX. Те, кому достался компьютер под NT, начали с установления сеанса null. Так называется утилита фирмы Microsoft, позволяющая различным сетевым службам обмениваться данными без применения паролей и идентификаторов пользователей. Представ перед системой в качестве "нулевого" пользователя, мы получили доступ к массе служебных сведений. Нам открылось то, о чем можно было только мечтать: файлы с паролями, регистрационные записи пользователей, сетевые сервисы, представляющие собой удобные мишени для нападения. И при этом имя пользователя или пароль не пришлось ввести ни разу.
По правде говоря, в этом режиме доступной оказалась не вся управляющая информация, однако имена пользователей системы удалось скопировать без труда. Затем мы вошли в систему под именем "backup" и чисто интуитивно ввели совпадающий с именем пароль. Он оказался верным. В результате нам сразу же удалось добраться до хешированных (закодированных) паролей и заменить их на "10phtcrack" и "John the Ripper". Эти последовательности были выбраны неслучайно: так называются две утилиты для взламывания паролей, свободно распространяемые через Internet.
Не более 15 минут ушло на то, чтобы взломать 70% имевшихся в системе паролей, зарегистрироваться в качестве суперпользователя и получить доступ ко всем серверным ресурсам. В довершение мы сохранили применявшийся хакерский инструментарий на сервере нашей жертвы в файле readme.txt, чтобы воспользоваться им в дальнейшем.
По мнению нашего инструктора Эрика Шульца, пароли в среде Windows NT взломать проще простого, поскольку программное обеспечение LAN Manager разбивает пароли на две равные части длиной по семь символов, а затем для шифрования образовавшихся половинок использует известную числовую константу. Средства взлома паролей изначально разрабатываются с учетом этого алгоритма, так что расшифровка пароля не вызывает никаких проблем. Администратор может обнаружить спрятанный на сервере арсенал хакерских средств единственным способом - настроить системы управления регистрационными журналами на выдачу предупреждающих сообщений в случае резкого изменения размера свободной части дискового пространства.
Как это ни странно, но получить полный доступ к UNIX-машине оказалось столь же легко, хотя при этом понадобилось вводить иные команды и запускать другие утилиты. В ходе выполнения учебного задания нам пришлось "попутешествовать" по четырем компьютерам под UNIX. Мы сумели модифицировать записи на сервере DNS, и в результате трафик был направлен на ложный IP-адрес. Затем мы инсталлировали на UNIX-машине "троянского коня" под названием Back Orifice, после чего вход на нее - безо всякого идентификатора пользователя и пароля - стал открыт для нас в любое время.
Сотрудники компании ParaProtect предпринимают множество подобных полномасштабных атак на сети своих клиентов. Войдя в образ искушенного хакера, Боб обычно бывает готов провести дальнейший анализ слабых мест своей "жертвы". Останавливают его множество другой работы да строгие положения контрактов, подписываемых с заказчиками.
День второй
На следующее утро мы занялись сканированием хост-компьютеров с использованием фрагментированных пакетов. В итоге нам удалось обнаружить массу открытых портов, которые могут стать жертвами атак этого типа. По заверению Боба, для него не составило бы труда несколько модифицировать используемый инструментарий и обойти установленный в сети маршрутизатор.
В отчете, который был составлен по результатам тестирования, заказчику рекомендовалось обзавестись брандмауэром, а также провести более детальное обследование всей сетевой инфраструктуры. Конечно, всякая дальнейшая деятельность в данном направлении напрямую зависит от того, способна ли фирма окупить связанные с нею расходы.
Однако получив такой отчет, сетевой администратор не должен ограничиваться доведением его основных выводов до сведения высшего менеджмента компании. Полученные сведения следует преподнести так, чтобы руководство осознало: усиление системы информационной безопасности приведет к реальному увеличению прибыли.
"Если пытаться оправдать расходы на средства защиты данных только на основе анализа рисков, связанных с несанкционированным вторжением в корпоративную сеть, эту затею можно заранее считать обреченной, - утверждает Грегори Уайт, технический директор компании Secure Logic. - Средства информационной безопасности надо рассматривать исключительно в качестве инструмента для успешного ведения бизнеса".
Дебора Рэдклифф (Deborah Radcliff) - технический писатель из Калифорнии. С ней можно связаться по электронной почте:derad@aol.com.
Имитационный сценарий хакерской атаки
Первый этап
Получение данных о тестируемой сети (количество сетей филиалов, IP-адреса, типы компьютеров)
Второй этап
Выявление наиболее уязвимых участков сети (выдача команд ping на отдельные порты и анализ сервисов, которые на них запущены)
Третий этап
Проверка степени уязвимости (попытки нарушить работу сервисов, скопировать файлы с паролями, внести в них изменения и т. д.)
Четвертый этап
Атака на корпоративную сеть с целью прервать работу сервисов и вызвать сбои в функционировании ключевых серверов.
|