Все новости от 12 октября 1999 г.

Атакован и взломан!

Для того, чтобы проверить эту истину, лаборатории PC Week не нужно было проводить интерактивный тест — для читателей нашего еженедельника это повседневная реальность. Но мы должны были создать сайт www.hackpcweek.com, чтобы понять, как следует поступать менеджерам ИТ, чтобы максимально эффективно защитить важнейшую информацию своих компаний. Число и разнообразие атак на опытный сайт отражает невероятную сложность этой задачи для предприятий, занимающихся электронным бизнесом.

Со временем защититься все труднее и труднее. Системы становятся все крупнее — как с географической, так и с архитектурной точек зрения, что приводит еще и к невиданной доселе сложности управления защитой. Компаниям приходится содержать собственный штат специалистов по контролю за системой, а бюджеты систем защиты уже сопоставимы с бюджетами исследований и разработок.

Хакерство — спорт популярный. Контролируя состояние веб-сайта в реальном времени с помощью ПО обнаружения нарушений и журналов регистрации входов в брандмауэр, мы были ошеломлены. Пресс-релиз с объявлением о начале работы сайта вышел 20 сентября в 8:30 утра, а уже через семь минут были зарегистрированы первые атаки. Всего сайт посетило свыше 40 тыс. хакеров.

Каким только видам атак на вывод из строя и получение доступа мы не подвергались! Все они были отражены брандмауэром. Несколько тысяч раз пытались сканировать наш порт. Но одним из самых интересных видов атак были синхронные нападения: одновременные атаки на все серверы — которые, конечно, фиксировались и отражались, — предпринимались с целью прикрытия более коварных действий.

Одна из самых трудных задач при управлении защитой — это задача сохранения простоты и наглядности. Как Windows NT, так и Linux по умолчанию устанавливают множество необязательных и незащищенных служб (SMTP Message Transfer Agents, Telnet- и FTP-серверы, серверы новостей и т.п.). Администраторы должны прилагать как можно меньше усилий к управлению каждым сервером. Чем меньше места для творчества, тем лучше.

Атака, перед которой www.hackpcweek.com не устоял, преподносит очень важный урок: защита не должна ограничиваться операционной системой. PC Week Labs проделала большую работу для того, чтобы обеспечить одними и теми же средствами защиты серверы Linux и Windows NT с веб-сайтом, который пришелся бы ко двору любому менеджеру ИТ. Но хакер по прозвищу Jfs обошел брандмауэр, систему обнаружения нарушений и заблокировал сервер с тем, чтобы воспользоваться брешью в CGI-скрипте Linux-сервера Red Hat Linux 6.0. Это была тщательно спланированная атака хакера, обладающего глубокими знаниями C, PERL и прикладной системы публикации рекламных объявлений PhotoAds компании Home Office-Online. Эту систему можно взять с сайта Home Office-Online, как и информацию о пробелах в защите и поправках для их устранения. Те компании, которые не следят за этой информацией, подвергают себя опасности, так как хакеры-то ее не упустят.

Успеху хакера способствовала неполная реализация поправок на нашем опытном сайте. Когда испытания начались, у Red Hat Software была 21 поправка для Red Hat 6.0, вышедшей всего пару месяцев назад. (В следующем раунде испытаний PC Week Labs установит на Linux-сервер все поправки и отредактирует скрипты.) Практика выпуска поправок и дополнений существует в любой операционной системе, однако для Linux нет единого надежного места, где хранился бы их полный комплект. Если поправки для ядра можно получить из таких проверенных источников, как kernel.org, то большинство других компонентов лишены такой централизованной инфраструктуры.

Эта проблема усугубляется распределенной природой современного предприятия и необходимостью проверять все поправки, прежде чем устанавливать их на ответственный сервер. Единственный выход для Linux — воспользоваться утилитой autorpm, которая опрашивает сервер на наличие новых поправок и автоматически устанавливает их. Но ни один администратор в здравом уме не станет применять подобные утилиты, так как в этом случае он вообще потеряет представление о том, что установлено на его сервере.

Продолжение.