На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-11-21 на главную / новости от 2002-11-21
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 21 ноября 2002 г.

Право на контратаку

Американские звукозаписывающие компании, устав бороться с пиратами, вышли в палату представителей Конгресса США с законопроектом. В случае принятия этого закона звукозаписывающие компании и другие владельцы прав на интеллектуальную собственность получат разрешение на принудительное отключение пользователей, распространяющих пиратский контент.

Законопроект, подготовленный конгрессменами Говардом Берманом и Говардом Коблом, допускает применение почти любых мер для блокирования сетевых пиратов. В частности, таких, как перенаправление пиратского трафика, блокировка файлов, проведение DoS-атак на пиратские системы. Запрещено в законопроекте только разрушение компьютерных систем и уничтожение данных.

Попытка провести этот закон в очередной раз подняла волну обсуждений на тему: можно ли бороться с хакерами их же оружием? Легитимна ли встречная атака для отражения атаки противника? Многие специалисты считают эти действия оправданными и сравнивают их с необходимой самообороной.

Особенно ратуют за такие контрнаступательные операции работники силовых и военных ведомств хорошо знакомые с такими действиями по реальной жизни. Для большинства хакеров, особенно так называемых script kiddies (т. е. использующих чужие разработки), в руки которых попали свободно распространяемые в Интернете атакующие программы, вывод их компьютеров из строя будет достойным наказанием, и одновременно воспитательной мерой.

В Интернете можно найти средства не только для реализации атак, но и для их обратного перенаправления. Например, такая функция есть в системе обнаружения атак PortSentry.

Кроме того, ко многим подобным системам можно подключать свои сценарии реагирования, в том числе и контратаки. В некоторых странах пошли еще дальше и, как мы уже отмечали выше, пытаются легализовать контратаки. Некоторые правительственные чиновники также, не имея возможности законодательно запретить деятельность тех или иных преступных элементов, пытаются использовать против них технические меры.

Например, 10 апреля 2001 г. министр внутренних дел ФРГ Отто Чили заявил, что против сайтов неонацистов немецкие спецслужбы могут предпринять DoS-атаки. Однако через некоторое время он отказался от своих слов и пообещал, что бундестаг будет искать законные методы нейтрализации сайтов нацистской направленности.

Некоторые страны, не приветствуя контратаки на словах, на деле не гнушаются такими действиями в отношении противников. В августе 1999 г. были взломаны сайты Kavkaz.org и Amina.com, принадлежавшие чеченским террористам. На этих сайтах появились портрет М. Ю. Лермонтова и надпись “Здесь был Миша! KAVKAZ.ORG и AMINA.COM были прихлопнуты по многочисленным просьбам россиян. С сайтами террористов и убийц всегда будет так!”. По некоторым фактам, следы хакеров-патриотов ведут в российские спецслужбы.

Тем не менее не все согласны с таким простым решением. Многие эксперты считают, что контратака аналогична самосуду, вынесению приговора без судебного решения.

Кроме того, по мнению большинства специалистов, основная проблема заключается в точной идентификации реального адреса злоумышленника (см. статью “Видит око, да зуб неймет” в PC Week/RE, № 13/2002, с. 20).

Если вы абсолютно точно знаете, кто и откуда вас атакует, тогда вы действительно можете попробовать предпринять контратаку. Однако зачем в таком случае становится на одну ступень с хакерами? Ведь пострадавший от вас злоумышленник обозлится и продолжит свои атаки. И так до бесконечности.

Куда эффективнее решить этот вопрос раз и навсегда, обратившись в соответствующие правоохранительные органы. Уж они-то знают, как убедить хакеров в том, что атаковать — это плохо. Вся беда в том, что пока российские силовые ведомства не имеют ни знаний, ни опыта, чтобы расследовать такие дела (см. PC Week/RE, № 38/2002, с. 28). Да и не будут они этого делать; если на каждую DoS-атаку, проведенную против сотни тысяч узлов в Рунете, заводить дело, никаких специалистов и бумаги не хватит.

Даже в такой продвинутой в компьютерном смысле стране, как США, специалисты правоохранительных органов в неофициальной беседе говорят: “Мы не можем решить эту проблему. Это слишком тяжело. Если вы самостоятельно позаботитесь о ее решении, то мы будем смотреть на это сквозь пальцы. Только будьте внимательны”.

Опытный же хакер редко атакует со своего реального адреса — обычно он использует промежуточные узлы, чтобы скрыть свое местонахождение. А подмена адреса может привести к тому, что контратака будет направлена на ничего не подозревающего пользователя.

Например, весной 1997 г. администратор одного из шести крупнейших Интернет-провайдеров США отметил более 1000 одновременных соединений со своим межсетевым экраном и решил мгновенно провести контратаку. Еще до вызова специалистов ФБР он блокировал весь сетевой трафик, который посчитал вредоносным, что повлекло за собой нарушение работоспособности практически 75% всего Интернета.

В свою очередь, атакованный пользователь может выдвинуть обвинение в атаке уже против контратакующего. Хотя здесь тоже кроется небольшая тонкость. Если вы перенаправляете злоумышленнику его же запросы без изменений, то это действие может быть квалифицировано как отказ от получения трафика, т. е. как нормальная функция сетевого взаимодействия. Но как только вы модифицируете эти запросы или реализуете свою собственную контратаку, то эти действия уже становятся противозаконными.

К сожалению, современные технологии не гарантируют однозначной идентификации местоположения нападающих. Поэтому в известных успешных случаях контратак для обнаружения адреса злоумышленников использовались несколько иные методы, например заявления самих хакеров или оперативные мероприятия.

Как сообщается в пресс-релизе хостинговой компании Conxion, начиная с 30 ноября по 3 декабря 1999 г. политическая группа, называющая себя “электрохиппи” (“э-хиппи”) атаковала сайт Всемирной торговой организации, управляемый этой фирмой.

“Электрохиппи” пытались вывести сайт ВТО из строя с помощью распределенной DoS-атаки, направленной из 3793 различных IP-адресов, однако специалисты по защите Conxion перенаправили весь поток запросов обратно на сайт э-хиппи, что привело к его падению. При этом сами эти хакеры посчитали, что перегрузка их сервера была вызвана массовым посещением сайта их сторонниками.

Оперативные мероприятия используются правительственными или военными ведомствами. В сентябре 1998 г. группа мексиканских хакеров Electronic Disturbance Theater (EDT) планировала ряд атак на Пентагон. Одно из его подразделений провело контратаку, приведшую к отказу в обслуживании атакующих компьютеров.

После контратаки эта группа даже планировала предъявить иск Министерству обороны США за взлом их сети. В июне того же года аналогичные действия против EDT были реализованы экспертами мексиканского правительства.

Всякий раз, когда хакеры реализовывали с помощью так называемой сети FloodNet атаки, направленные на серверы правительства, специально разработанное ПО активизировалось и контратаковало нападающих, приводя к отказу атакующих систем.

Несмотря на то что действительно эффективных способов обнаружить реальный адрес противника пока не существует, производители средств защиты уже выпускают продукты, оснащенные механизмами реализации контратак, оставляя их использование на совести пользователя.

Мало того, производители играют на желании любого человека адекватно ответить на адресованную ему угрозу. Согласно опросу Corporate America’s Competitive Edge, 30% американских компаний из списка Fortune 500 используют против хакеров средства или механизмы реализации контратак, к которым можно отнести:

  • перенаправление входящих запросов на адрес злоумышленника;

  • разрыв соединения с атакующим узлом;

  • реконфигурацию межсетевых экранов и сетевого оборудования с целью последующего блокирования всех запросов с атакующего адреса;

  • посылку сообщения Интернет-провайдеру, с тем чтобы блокировать злоумышленника.

В заключение хочу заметить, что, несмотря на сложности в обнаружении адреса злоумышленников, не стоит сбрасывать со счетов этот вариант реагирования. При выполнении ряда условий он имеет право на жизнь.

А учитывая, что большинство атак осуществляется изнутри самих компаний, где идентифицировать нарушителя намного проще, чем в Интернете, шансы на удачную контратаку значительно возрастают. Главное — не действовать по принципу “сначала стреляю, а потом смотрю куда”.

С Алексеем Лукацким, автором книг “Обнаружение атак” и “Атака из Internet”, можно связаться по адресу: luka@infosec.ru.

 

← октябрь 2002 15  18  19  20  21  22  25  26  27 декабрь 2002 →
Реклама!
 

 

Место для Вашей рекламы!