СССР CCСР - Библиотека - Алексей Лукацкий "Информзащита"

На главную страницу

Алексей Лукацкий
"Информзащита"

В 9-м номере PCWeek/RE была опубликована статья Л. Любезнова "Сокрытие авторства в Интернете: за и против", рассматривающая различные аспекты анонимности. Автор кратко коснулся и технических вопросов, которые я хотел бы раскрыть более подробно.

Спокойное чтение бюллетеня по безопасности ISS X-Force Security Alert (http://xforce.iss.net) было прервано звуковым сигналом, который дал знать администратору, что управляемый им межсетевой экран обнаружил несанкционированное действие. Увидев мигающую иконку на экране монитора и щелкнув на ней мышью, администратор погрузился в строки символов, характеризующих адрес злоумышленника. "Ну вот ты и попался, голубчик", - про себя сказал администратор, который вот уже вторую неделю безуспешно пытался обнаружить хакера, пытающегося вломиться в корпоративную сеть банка. Однако при ближайшем рассмотрении все оказалось не так просто.

Попытка определить, кому принадлежит данный адрес с помощью сервиса whois показал, что это американский университет DePaul в Чикаго. Обращение к администратору университета не внесло ясности, а еще больше запутало. По его словам, в указанный момент времени (даже с учетом разницы в часовых поясах) с указанного IP-адреса никаких действий не осуществлялось. И вообще, в это время в Чикаго была ночь и университетский вычислительный центр был закрыт.

Такое обескураживающее сообщение показало администратору атакованной сети всю сложность его положения и заставило призадуматься. Выходило, что сеть была атакована не неопытным юнцом, а достаточно квалифицированным хакером, который знал "как" осуществлять подмену адреса. Мне можно возвразить, что так делают не все. Да, не все. Существует огромнейшая категория пользователей, называющих себя настоящими хакерами, но таковыми не являющимися. Для них даже придуман специальный термин "script kiddies", что означает любителей, использующих готовые средства реализации атак, не понимая сути их действия. Получив какую-либо программу для взлома, они сразу задают в ней адрес своего друга, насолившего им соседа или просто случайного компьютера и приводят ее в действие. Если видимого результата нет, то они переходят к следующему адресу и т.д. На такую удочку попадаются только неискушенные администраторы, не следящие за защищенностью своей сети. Мы же будем исходить из худшего. В данной статье я хотел бы кратце описать способы сокрытия своего реального адреса, используемые квалифицированными злоумышленниками.

Подмена адреса

Большинство злоумышленников организовывают свои атаки с промежуточных серверов, которые они уже взломали, с proxy-серверов или иными способами, описываемыми ниже. Таким образом, найти того, кто вас атакует, будет очень трудно. При этом, активное блокирование атак на основе адреса с помощью межсетевых экранов, фильтров на маршрутизаторах и других устройствах может привести к отрицательному результату, то есть к тому, что вы заблокируете не злоумышленника, а вполне реальный адрес (возможно, принадлежащий вашему клиенту или партнеру), которому необходим доступ к вашим информационным ресурсам.

Частота подмены адреса источника для различных типов атак выглядит так, как это показано в таблице.

Таблица 1. Вероятность подмены адреса при различных атаках

Тип атак Пример Вероятность подмены адреса
Сбор информации Traceroute, ping < 1%
Сканирование портов Один узел или подсеть 5%
Многопакетные атаки типа "отказ в обслуживании" Ping Flood, SMURF, Fraggle Источником может быть промежуточный узел
Однопакетные атаки типа "отказ в обслуживании" (или из нескольких пакетов) WinNuke. Ping of Death, SYN Flood 95%
Переполнение буфера Длинные имена файлов, длинные URL 50%
Команды Telnet, BackOrifice, Netcat 5%

Изменение заголовка пакета

Существующая версия протокола IP является очень незащищенной, о чем писалось уже не раз. Именно эта незащищенность и используется злоумышленниками для своих атак. Простое изменение поля "Адрес источника" (Source Address) в заголовке IP-пакета приводит к тому, что во всех журналах регистрации фиксируется именно этот адрес, а не реальный адрес, с которого осуществлялась атака. Именно этот механизм используется при реализации атак типа "отказ в обслуживании".

Однако у данного механизма есть существенный недостаток, который не влияет на реализацию однопакетных атак, но становится непреодолимой преградой при реализации многопакетных атак. Если хакер меняет адрес источника в сетевом пакете, то атакуемый узел будет отвечать не на реальный адрес атакующего узла (ведь он его не знает), а на адрес, указанный в заголовке IP-пакета. Именно поэтому реализация вторжений с подменой адреса в заголовке возможна только для однопакетных атак или в том случае, если атакующий и атакуемый находятся в одном физическом сегменте сети. Существует и еще два редких случая, когда возможна подмена адреса. В первом случае злоумышленник должен находиться на пути между атакуемой стороной и узлом, чей адрес используется в подменяемом пакете. Во втором случае, злоумышленник может попытаться угадать определенные характеристики заголовка IP-пакета, чтобы вести "переговоры" с атакуемым узлом, не видя его ответов.

Proxy

Proxy, он же прокси, он же посредник, - это система, которая все запросы одного абонента пропускает через себя и заменяет адрес этого абонента на свой собственный. В этом случае в журналах регистрации сетевого оборудования и средств защиты сохраняется не реальный адрес хакера, а адрес прокси, через который этот злоумышленник пришел. При этом, для усложнения своего обнаружения, злоумышленники очень часто используют цепочку промежуточных узлов, проигрывая в скорости соединения с атакуемым узлом, но выигрывая в анонимности.

Найти прокси в сети Internet не составляет большого труда. Задав на Яndex'е в строке поиска фразу "список анонимных серверов" я получил большое число необходимых ссылок. Причем уже десятая ссылка на первой выданной поисковой системой странице содержала список из более чем 900 анонимных прокси-серверов. Разумеется часть этих серверов уже не функционирует, часть стала предоставлять свои услуги за деньги, но найти один работающий сервер в этом списке не составляет большого труда.

Все анонимные прокси можно разделить на две категории - "прозрачные" (transparent) и "непрозрачные" (no transparent). Только непрозрачный прокси реальной скрывает адрес злоумышленника. Прозрачный же хоть и заменяет адрес хакера на свой собственный, но при запросе к этому прокси, он выдаст всю подногтную, включая и реальный адрес (если конечно злоумышленник не шел через цепочку промежуточных серверов).

Анонимайзер

Анонимайзер - это аналог прокси, только с более широким толкованием. Обычно под прокси понимается сервер, который подменяет IP-адрес абонента на свой собственный. А анонимайзер просто удаляет адрес абонента из заголовка запроса. Наиболее часто анонимайзеры используются для отправки анонимных писем. Однако есть примеры и Web-анонимайзера, с помощью которого можно путешестовать по Web-серверам, не боясь "наследить" в журналах регистрации.

Один из самых известных анонимайзеров - сервер www.anonymizer.com. Именно этот сайт в свое время был Меккой всех хакеров, желающих скрыть свои темные делишки, а также сотрудников, которые не хотели, что их боссы знали, на что тратится рабочее время. Со временем, из бесплатного ресурса anonymizer.com превратился в коммерческую компанию, которая предлагает своим пользователям ряд платных и бесплатных услуг.

Помимо данного ресурса существует и ряд менее известных, но не менее функциональных ресурсов. Например, @nonymouse.com, который обеспечивает анонимный серфинг по Web, анонимную электронную почту и анониманое чтение списков новостей.

Яndex также выдает большое число ссылок на различные анонимайзеры - во время написания статьи я нашел 1899 различных страниц, содержащих нужные мне сведения.

Программы-анонимайзеры

Не всегда у хакеров есть возможность посетить прокси-сервер или анонимайзер. Если вся несанкционированная деятельность осуществляется с работы, то доступ к таким серверам может быть заблокирован. Кроме того, не стоит оставлять в журналах регистрации периметровых средств защиты следы своих деяний. Желательно, чтобы анонимный доступ в Internet начинался уже с самого компьютера, за которым сидит хакер.

И компания Anonymizer.com предложила такую возможность, разработав специальный модуль Privacy Button, который интегрируется в броузер Internet Explorer и представляет собой новую кнопку на панели броузера, нажав на которую пользователь получает ряд интересных возможностей:

  • Защита от cookies.
  • Шифрование адреса запрашиваемого ресурса.
  • Фильтрация рекламных баннеров.
  • Возможность посылки анонимной электронной почты.
  • Скрытие IP-адреса от посещаемых Web-серверов.
  • Защита от Java, ActiveX и т.д.

Существует две версии Privacy Button - платная (50$ в год) и бесплатная, которые отличаются своим функционалом.

Существуют и другие программы. Например, anonymail, которая, как видно из ее названия, предназначена для рассылки анонимных сообщений электронной почты.

Ремейлер

Что такое ремейлер (remailer)? Переводится это просто - перенаправитель (ретранслятор) электронной почты. Вы отправляете свое письмо, соответствующее определенным правилам, на адрес ремейлера, а уж доставить ваше письмо до нужного вам адресата - это задача ремейлера. При получении такого письма в заголовке указан не ваш настоящий адрес, а адрес ремейлера.

"Халявная" почта

О бесплатной почте писать много не имеет смысла. Она мало чем отличается для хакера от обычного анонимайзера. Единственное, что придется потратить время на регистрацию почтового ящика. Но зато потом, вы имеете полноценный почтовый ящик, с которого можно посылать различные письма, не боясь быть разоблаченным.

Такие бесплатные почтовые ящики предлагают сейчас множество серверов, начиная от Yahoo.com и Hotmail.com и заканчивая Mail.ru и Rambler.ru.

Усложнение представления адреса

Усложнение представления адреса хоть и не полностью скрывает злоумышленника, но позволяет "поводить за нос" неквалифицированного администратора. Допустим, что нарушитель хочет посетить сайт www.playboy.com. Однако для доступа к нему можно использовать не доменное имя, что делается в абсолютном большинстве случаев, а IP-адрес (209.247.228.201) этого сервера. Но и это еще не все. Пользователь может также использовать десятичное - 3522684105, шестнадцатиричное - 0xD1.0xF7.0xE4.0xC9 или даже восьмеричное - 0321.0367.0344.0311 значение этого адреса, что позволит без ограничений обращаться к интересующим его страницам с помощью броузера, но затруднит распознавание адреса, к которому обращался нарушитель.

Можно еще больше затруднить распознавание адреса, если знать, как броузер обрабатывает URL, передаваемые через Internet. Например, любая цифра может быть представлена путем прибавления к ней 30 и символа %. Т.е. 3 - это %33, 7 - %37, а 0 - %30. Таким образом, адрес сервера Playboy может выглядеть следующим образом - 35%32%32%36841%305. Комбинаций здесь может быть неограниченное количество.

Можно и далее усложнять адрес, к которому идет обращение, путем подстановки перед ним любого числа разнообразнейших символов (но не более 256), не забыв их отделить от реального адреса символом @. Таким образом, запрос на доступ к сайту Playboy может выглядеть следующим образом: 34985734958734985776498574634985634579823423798645@35%32%32%36841%305. Как я уже отметил - это не скроет ваши помыслы, но затруднит их распознавание.

Генерация ложных пакетов

Еще один способ, усложняющий обнаружение реального адреса злоумышленника, создать большое число фальшивых пакетов и послать их жертве наряду с пакетом, содержащим реальный адрес. Представляете всю сложность ситуации? Администратор, анализируя журналы регистрации, видит сотни адресов, с которых зафиксировано обращение к защищаемым ресурсам. Разобраться, где реальный адрес, а где сфальсифицированный будет очень трудно. За это время злоумышленник сможет сделать свое черное дело, оставив администратора "в дураках".

Сканер nmap имеет возможность обманного (decoy) сканирования, когда вместо реальных IP-адресов источника проставляются (подменяются) другие IP-адреса. Тем самым перед администратором системы обнаружения атак ставится непростая задача: обнаружить среди множества зафиксированных в журналах регистрации IP-адресов только один реальный, с которого действительно производилось сканирование.

Использование чужих компьютеров

Использование чужих компьютеров ничем не отличается от применения прокси за одним небольшим исключением. Прокси заранее запрограммирован для решения этой задачи, а чужой компьютер взламывается специально для этого. Хакер осуществляет поиск незащищенных или слабо защищенных узлов, взламывает его, размещает какую-либо специальную программу или обычного троянца и все дальнейшие действия осуществляет черег него.

По такому принципу функционируют и средства для реализации распределенных атак "отказ в обслуживании" (Distributed Denial of Service) - mstream, stacheldraht, TFN2000, trin00, Shaft, trinity и т.д.

Заключение

Достаточно запугав читателя, могу отметить, что не все так радужно для хакера, как кажется на первый взгляд. Описанные выше способы обеспечения анонимности для выполнения несанкционированной деятельности не являются абсолютно анонимными. При должной квалификации администратора безопасности атакуемой сети и наличии контактов с Internet-провайдером и правоохранительными органами, можно отследить реальный адрес злоумышленника; несмотря на то, что это очень трудно и требует соответствующией инфраструктуры обнаружения атак и реагирования на инциденты.

14 ноября 2001 г.






=НАЗАД в Библиотеку=

НА ГЛАВНУЮ СТРАНИЦУ

Hosted by uCoz