Новинки компьютерных книг ->> Защита от хакеров. Анализ 20 сценариев взлома
Информационный Канал Subscribe.Ru |
Защита от хакеров. Анализ 20 сценариев взломаМайк Шиффман
ВведениеХакеры атакуют CAL-ISO 9 июня 2001 года, Дэн Морайн (Dan Morain), штатный журналист Los Angeles Times. Сакраменто. Как сообщает конфиденциальный источник, по крайней мере, на общем фоне роста энергетического кризиса хакеры в течение примерно 17 дней организовывали атаки на компьютерную систему сеть компании, отвечающей за перераспределение электроэнергии, протекающей через Калифорнию. Успех хакеров, несмотря на явную ограниченность атак, привел к некоторым неполадкам в системе защиты Калифорнийского независимого системного оператора (Cal-ISO), который следит за большей частью системы передачи электроэнергия на территории штата. Официально Cal-ISO заявил, что неполадки ликвидированы и никакой угрозы для энергетической сети не существует. Но другие источники утверждают, что хакерам практически ничего не стоило получить доступ к основным частям системы и что при желании они могли бы серьезно нарушить подачу электроэнергии. Законодатели от демократов и республиканцев пришли в негодование из-за взлома системы защиты указанного объекта в первую очередь потому, что таковой является одной из наибольших составляющих энергетической системы Калифорнии, оказавшейся такой неустойчивой во время энергетического кризиса. Некоторые называли эту атаку "зловещим предзнаменованием". Из отчета внутренних служб с грифом "Для служебного, пользования" стало ясно, что атаки начались, по всей вероятности, 25 апреля и оставались незамеченными вплоть до 11 мая. В отчете сказано, что большая часть атак проводилась по каналам China Telecom кем-то из провинции Гуандонг, Китай. Наряду с China Telecom хакеры использовали и серверы, размещенные в Санта-Кларе, Северная Калифорния, а также в Тулсе, штат Оклахома. Так было отмечено в отчете. Джеймс Сэмпл, специалист из отдела компьютерной безопасности Cal-ISO, являющийся автором отчета, заявил, что он не в состоянии определить местонахождение атакующих. "Вы никогда не знаете, откуда на самом деле действуют эти люди", - сообщил Сэмпл. "Единственная причина, по которой указывали на Китай, заключается в том, что последнюю политическую программу Китай вел с США. ... Но и амбициозный хакер из США также мог действовать под видом хакера из Китая." Инцидент произошел во время повышения напряженности в китайско-американских отношениях после столкновения китайского военного самолета и разведывательного самолета США. Ранее, в мае, были опубликованы сотни отчетов о компьютерных атаках, проводимых, несомненно, из Китая. В результате большинства этих инцидентов многим сетям был нанесен значительный ущерб. На правительственных Web-узлах появлялись антиамериканские лозунги. Однако атака на компьютерную систему Cal-ISO имела более серьезные последствия. Позже было установлено, что хакеры управляли вторжением с помощью систем в Фольсоме, расположенному к востоку от Сакраменто, которые были связаны с системой, контролирующей поток электроэнергии через Калифорнию. "Система передачи электроэнергии была хорошо защищена от катастрофических повреждений", - сообщил источник, располагающий информацией об атаке и имеющий отношение к внутреннему расследованию инцидента в Cal-ISO. 7 и 8 мая, во время атак по всей Калифорния было зарегистрировано множество случаев отключения электроэнергии, но в пятницу Cal-ISO заявила, что не видит никакой связи между хакерскими вторжениями и отключениями, в результате которых пострадало более 400000 потребителей. Как сказано в отчете, после выявления атаки эксперты получили подтверждение того, что хакеры, несомненно, пытались применить программное обеспечение, которое позволило бы им пройти через так называемую защиту брандмауэров (аппаратно-программные средства межсетевой защиты) к более чувствительным частям компьютерной системы. - Предоставлено Los Angeles Times В прессе регулярно появляются сообщения наподобие приведенного выше. Общественности стали известны факты обстоятельных докладов об использовании компьютерных сетей с преступными намерениями. Летом 2001 года в результате опроса на узле cnn.com, длившегося в течение трех месяцев, были определены следующие темы, которые в наибольшей степени волновали пользователей.
Действительно, с ростом размеров и клиентуры компьютерных сетей растет количество инцидентов, связанных с их безопасностью. О чем не сообщается в новостях, так это о том, как происходят эти инциденты. Что приводит к их возникновению? Что этому способствует? Как можно предотвратить атаку? Имеется ли возможность уменьшить ущерб? Если вас интересуют ответы на поставленные вопросы, значит эта книга для вас. Книга Защита от хакеров. Анализ 20 сценариев взлома предоставит вам ряд реальных истории из области компьютерной безопасности, основанных на фактах и изложенных ведущими экспертами, консультантами, специалистами по реагированию на инциденты и криминалистами в компьютерной области. Но книга идет дальше простого пересказа событий - она предоставляет подноготную каждого случая. В ходе изложения читатель получит полную информацию об инциденте и о возможных методах решения проблемы. Эта книга не похожа на другие современные общедоступные издания. Люди, которые несут ответственность за безопасность сетей в различных отраслях индустрии, смогут найти здесь для себя очень много интересного о реальных вторжениях. Тщательно проанализировав представленную здесь информацию, они смогут изучить типы сценариев, о которых им полезно будет знать, а также стили некоторых атакующих. Структура книгиКнига состоит из двух частей по 20 глав в каждой. В каждой главе первой части содержится подробное описание отдельного случая, сопровождающееся информацией (системные журналы, схемы сетей и т.д.), которая необходима читателю для получения полной картины инцидента. Конечно, некоторые малозначительные факты опущены, так как авторы старались не перегружать книгу излишними деталями. В конце каждой главы задается несколько специфических вопросов, которые призваны помочь читателю провести наиболее корректный анализ. Во второй части книги предлагаются возможные способы решения инцидентов, описанных в первой части. Здесь подробно анализируется каждый конкретный случай, объясняется, в чем слабое место системы, дают ответы на поставленные вопросы. Обязательно приводятся рекомендации относительного того, как можно смягчить последствия атак. Защищать невинных...Поскольку в очень многих случаях информация имеет конфиденциальный характер, отдельные детали происшествий изменены или совсем отсутствуют. Но чтобы сохранить целостность изложения в каждом конкретном случае, в обязательном порядке приводится полная статистика процесса. Изменены следующие данные:
Информация о слабых местах в системе защитыВ книге дано много ссылок на внешние источники, в которых можно найти дополнительную информацию о специфических слабых местах систем защиты. Мы также приводим информацию о слабых местах в различных системе защиты, предоставленную нам такими организациями, как MITRE и SecurityFocus. MITRE (http://cve.mitre.org) является некоммерческим технологическим ресурсом, который обеспечивает для правительства системное проектирование, исследования и разработку в области информационной безопасности. Эта организация публикует статьи о слабых местах и дефектах в защите, называемые CVE (Common Vulnerabilities and exposures). С помощью системы идентификации очень легко находить необходимые сведения в базе данных CVE. SecurityFocus (http://www.securityfocus.com) - ведущая компания по предоставлению услуг защиты информации. Она поддерживает портал, который в месяц посещает более четверти миллиона пользователей. База данных SecurityFocus слабых мест в защите систем, является наиболее полной коллекцией опубликованных проблем в защите компьютерных систем. Система уровней сложностиОписанию каждого инцидента предшествуют три характеристики, которые определяют общую сложность каждой атаки. Эти характеристики в равной степени описывают инцидент как со стороны атакующих, так и со стороны практикующихся в защите. Сложность атакиСложность атаки определяется уровнем технических возможностей атакующей стороны или же общим уровнем искушенности атакующего. Понятно, что, чем сложнее и защищеннее среда, тем больше усилий должен приложить атакующий, чтобы взломать ее (естественно, бывают и исключения...).
Возможность предупреждения и степень тяжести последствийУровень сложности, который был бы необходим организации для предотвращения инцидента назовем возможностью предупреждения. Степень тяжести последствий - это необходимый уровень уменьшения воздействия повреждений инфраструктуры организации. Эти параметры можно определить, согласно следующей схемы.
Условные обозначения, используемые в этой книгеЧтобы досконально разобраться в книге, обязательно нужно знать ее структуру и принцип изложения материала. В каждой главе читатель найдет системные журналы, схемы сетей пострадавших компаний, распечатки файлов, результаты выполнения команд, программные коды и множество других сведений, которыми руководствовались эксперты во время расследований инцидентов. Информация дана по возможности ближе к оригиналу, но, как уже отмечалось, из-за цензурных ограничений и для соблюдения условий конфиденциальности некоторые изменения в ее содержимое все-таки были внесены. Вопросы В конце каждой главы дается список вопросов, которые заставят читателя уточнить детали инцидента и помогут прийти к наиболее удачному решению. Не ленитесь делать пометки в тексте, и вы обязательно разберетесь в тонкостях произошедших инцидентов.. Ответы Во второй части книги, которая также состоит из 20 глав, даны решения по каждому из инцидентов, описанных в первой части. В частности, здесь описываются шаги, предпринимаемые руководством и системными администраторами компаний, по устранению последствий совершенных атак и предупреждению новых, даются ответы на вопросы, поставленные в первой части. Предупреждение Во второй части книги, в так называемых решениях, содержатся разделы, в которых вы найдете советы о том, как попытаться остановить атаку до ее начала. Они могут стать очень полезными для компаний, которые попадают в ситуации, похожие на те, с которыми пришлось столкнуться упоминаемыми здесь организациями. Последствия В каждой главе также имеется раздел, в котором описываются действия подвергшихся нападению компаний, по восстановлению компьютерных систем и дают рекомендации относительно того, как это можно сделать более удачно. Ключ Некоторые главы содержат один или два ключа-подсказки для определения путей решения инцидентов, но в основном вам придется действовать самостоятельно. Удачи вам! Об автореМайк Шиффман (Mike Shiffman), CISSP, является руководителем отдела безопасных архитектур в компании @stake, ведущего поставщика профессиональных услуг в области защиты. Он занимался исследованием и разработкой множества самых современных технологий, в том числе таких средств, как firewalk, tracerx, а также libnet - повсеместно используемого низкоуровневого пакета. Майкл читает лекции в таких ведущих ведомствах и правительственных органах, как Управление национальной безопасности США, ЦРУ, Министерство обороны США, а также для слушателей армейской разведки. Кроме того, он пишет статьи для журналов Software Magazine и securityfocus.com, а также является соавтором серии книг Секреты хакеров. О соавторахМухаммед Бага (Mohammed Bagha) известен в компьютерной индустрии как один из ведущих экспертов в сфере безопасности. Практический опыт исследования взломанных систем предоставили Мухаммеду уникальные возможности для изучения архитектуры безопасности и проектирования операционных систем. Он принимал участие в создании ряда новых технологий и средств проникновения в сети и на узлы, а также усовершенствовал многие из уже существующих технологий. Сейчас Мухаммед работает в NetSec, Inc. в Херндоне, шт. Вирджиния на должности руководителя службы сетевой безопасности и инженера, занимающего вопросами вторжений. Дуглас У. Барбин (Douglas W.Barbin), обладатель сертификатов CISSP, CPA и CFE; занимает должность главного консультанта в компании Guardent, Inc. Он полностью посвятил себя вопросам реагирования на инциденты, судебным вопросам и расследованиям. Работая в области криминалистики, он полностью окунулся в мир преступлений в области высоких технологий и предоставлял услуги компаниям из списка Fortune 500 и правительственных организаций. Дуглас является руководителем административной службы реагирования на инциденты компании Guardent, отвечает за создание внутренних методик и процедур, а также за обучение персонала. Он руководит и проведением таких крупномасштабных работ, как исследование Internet-червей (sadmind, Code Red I и II, Nimbda), отвечает за расследование должностных преступлений служащих, хищение интеллектуальной собственности и многочисленные вторжения извне. Дуглас оказывает всестороннюю помощь и другим компаниям по вопросам управления внутренними инцидентами и проведения криминалистических процедур Доминик Брезинский (Dominique Brezinski) является сотрудником Технологической группы In-Q-Tel. Он занимается оценкой бюджета компаний для потенциальных инвестиций, отслеживает текущие тенденции развития технологий, прогнозирует их будущее, работает с ЦРУ по вопросам определения существующих и будущих интересов. Ранее Доминик работал в Amazon.com. В его компетенцию входило выявление вторжений, реагирование в составе службы безопасности на инциденты, разработка структуры системы безопасности сети, управление проектами, стоимость которых составляла миллиарды долларов, анализ уязвимых мест в системе защиты и обучение сотрудников мерам безопасности. В свое время Доминик также занимался многочисленными исследованиями, проводил консультации, программировал в таких компаниях, как Secure Computing, Internet Security Systems, CyberSafe и Microsoft. Дэвид Диттрих (David Dittrich) является главным инженером отдела безопасности Вашингтонского университета, где он трудится с 1990 года. Широкую известность он получил за работы по техническому анализу средств для атак Trinoo, Tribe Flood Network, Stacheldrant, shaft, mstream и DDOS. Недавно Дэйв начал изучение средств криминалистического анализа и технологий UNIX, возглавил проект Honeynet Project's Forensic Challenge, в котором подробно анализируются взломанные UNIX-системы. Неоднократно он выступал с лекциями на многочисленных конференциях по вопросам безопасности, в том числе на USENIX Security Symposium, RSA 2000, SANS и Black Hat. За работу по изучению средств DDOS Дэвид награжден премией SANS Security Leadership за 2000 год. Джеймс Р. С. Хансен (James R.C.Hansen), Foundstone, Inc. является общепризнанным международным экспертом в области расследования сетевых вторжений с более чем 15-летним стажем. Джеймс 11 лет служил специальным агентом в ВВС США в отделе специальных расследований, где его последним назначением был пост заместителя директора отдела по компьютерным преступлениям. Он непосредственно расследовал все вторжения в сети ВВС США и в некоторые системы департамента безопасности, он лично расследовал многие сложнейшие инциденты и выступал свидетелем при проведении судебных процессов в США и других странах. Джеймса неоднократно приглашали в качестве инструктора в Национальный университет безопасности и управление института службы безопасности США. Он проводил обучение по вопросам компьютерных преступлений сотрудников нескольких федеральных следственных служб. Джим даже участвовал в секретных операциях. Он также имел немалый опыт в расследовании экономических преступлений. Шон Харрис (Shon Harris), обладатель сертификатов MCSE, CCNA и CISSP; является постоянным консультантом по вопросам безопасности, а также занимается созданием безопасных сетей. В частности она читает лекции для сотрудников по вопросам защиты, безопасности и возможных атак в компьютерной информационной войне. Шон занималась разработкой системы безопасности в Security Consulting Group, где выполняла оценки системы безопасности, анализ, тестирование и создавала готовые решения для конечных пользователей. В ее задачи входила оценка безопасности Web-узлов компаний и уязвимых мест в системе защиты внутренних сетей, внешняя защита сетей, разработка архитектуры безопасности, консультации по вопросам политики. Кроме того, Шон занимает должность инженера по безопасности в финансовых ведомствах США, Канады и Мексики, преподает на курсах MCSE (Microsoft Certified System Engineer) в колледже Spokane Community. Она является автором книги The CISSP All-In-One-Certification Exam Guide. Кейт Дж. Джонс (Keith J.Jones) занимает должность консультанта по криминалистическим исследованиям в области компьютерных технологий в Foundstone, Inc. Его основная специализация связана с разработкой программ реагирования на инциденты. Кейт занимается анализом и расследованием компьютерных преступлений, анализом судебных дел, специализированным тестированием атак и вторжений. Много внимания он уделяет расследованию различных типов инцидентов, включая хищение интеллектуальной собственности, финансовые хищения, внешние атаки. Помимо того, Кейт свидетельствует в Федеральном Суде США как эксперт-свидетель. Эрик Мэйуолд (Eric Maiwald), обладатель сертификата CISSP; является техническим директором компании Fortrex Technologies, где он руководит всеми исследованиями в области безопасности и отвечает за все виды деятельности компании. В функции Эрика также входит оценка степени защиты компьютерной сети, разработка политики и реализация решений в области безопасности для крупных финансовых ведомств, сервисных компаний и фирм-производителей. Он имеет большой опыт работы в области безопасности как консультант, руководитель по вопросам безопасности и разработчик. Эрик получил степень бакалавра наук в области электротехники в Политехническом институте Ренсселаера и степень магистра в области электротехники в институте технологий Стивенса. Он является активным участником многих широко известных конференций, редактором журнала SANS Windows Security Digest. Кроме того, Эрик - автор книги Network Security: A Beginner's Guide. Тимоти Муллен (Timothy Mullen) является главным управляющим отдела информационных технологий и одним из архитекторов программного обеспечения в компании AnchorIS.Com, создателем ряда бухгалтерских программ. Известный под именем Тор (Thor), Тимоти был соучредителем группы Hammer of God security co-op. Он часто выступает на конференциях Blackhat, является автором множества публикаций по вопросам безопасности и ведет постоянную рубрику в журнале Security Focus. Адам О'Доннелл (Adam O'Donnell) - почетный член университета города Дрексел, доктор электротехнических наук; специализируется на обработке цифровых сигналов. Кроме того, Адам занимается разработкой отдельных подсистем усилителей высоких частот в компании Lucent Technologies, где он имеет патент на свою работу, а также исследовательскими работами в компании Guardent, Inc. Его текущие изыскания касаются сетей, компьютеров, безопасности беспроводных и распределенных систем. Билл Пеннингтон (Bill Pennington), обладатель сертификатов CISSP, CCNA и CISS; является главным консультантом отдела безопасности компании Guardent, Inc. Билл более пяти лет профессионально занимается проблемой защиты информации, а порядка десяти лет - вопросами информационных технологий. Он знаком с системами Linux, Solaris, Windows, Open BSD, является сертифицированным специалистом корпорации Microsoft (Microsoft Certified Product Specialist). Он неоднократно принимал участие в судебных разбирательствах, касающихся компьютерных технологий. Много внимания Билл уделяет вопросам установки и поддержки виртуальных частных сетей, брандмауэров Cisco, систем обнаружения вторжений и систем текущего контроля. Дэвид Поллино (David Pollino) занимает должность управляющего отделом разработки систем безопасности компании @stake, Inc. Он имеет большой опыт в организации сетей, включая работу на поставщиков услуг Internet и компаний из списка Fortune 500. Дэвид особое внимание в своей работе уделяет вниманию таким беспроводным технологиям, как 802.11x, WAP (Wireless Application Protocol) и GPRS. Его последние проекты касаются разработки и контроля архитектуры систем безопасности для крупной европейской ASP-компании. Николас Раба (Nicholas Raba) является администратором консалтинговой и информационной группы SecureMac.com, Inc., занимающей вопросами безопасности систем на основе Macintosh, которая поддерживает крупнейший неофициальный узел Freaks Macintosh Archives, и множество других специфических узлов для пользователей Macintosh, таких как MacintoshSecurity.com. Кроме того, ему приходилось заниматься и сетевыми приложениями. В свое время Николас был профессиональным Web-дизайнером и программистом на ColdFusion и PHP. Недавно Николас прочитал лекцию на конференции DefCon 2001 в Лас-Вегасе по вопросам безопасности операционной системы Mac OS X. О техническом рецензентеТом Ли (Tom Lee), MCSE, является управляющим службы информационных технологий компании Foundstone, Inc. Он занимается защитой сетей Foundstone от внешних незаконных вторжений, а также, и даже в большей мере, от внутренних незаконных вторжений. Том обладает десятилетним опытом работы с компьютерными системами, в частности опытом сетевого администрирования, и защиты целого ряда систем, начиная с Novell и Windows NT/2000 и заканчивая Solaris, Linux и BSD. Ранее Том занимал должность управляющего отдела информационных технологий в Калифорнийском университете, Риверсайд. БлагодарностиВ первую очередь я хотел бы поблагодарить все своих соавторов, которые так помогли мне в работе. Вы, парни, в прямом и переносном смысле являетесь крутыми, и без вас эта книга не заслуживала бы никакого внимания. Снимаю перед вами шляпу. Особая благодарность Дэвиду Поллино, Биллу Пеннингтону и Дугу Барбину - за их терпение, за то, что они ни разу не возмутились по поводу моего постоянного нытья и недовольства. Спасибо Мухаммеду Бага за его участие в работе нашего коллектива. Огромная благодарность Тому Ли за его работу по техническому редактированию, выполненную в экстремально короткие сроки. Ваша помощь, ребята, просто неоценима! Большая моя благодарность сотрудникам компании Osborne: редактору Джейн Браунлоу (Jane Brownlow), координатору Эмме Экер (Emma Acker) и редактору проекта Лауре Стоун (Laura Stone). Это было настоящее волшебство за кадром! Полагаю, что просто обязан упомянуть имя Рафаэля Вайнштейна (Rafael Weinstein), который сделал меня таким, каким я есть сегодня. Без Рафа я бы не заинтересовался так рано киберпространством. Еще одним любезным молодым человеком, который заслуживает благодарности, является Дэйв Голдсмит. Ура его остроумию! Мне также хотелось бы назвать имя Цезаря Граци (Cesar Gracie) - специалист мирового класса, в совершенстве владеющего военным искусством и являющимся членом команды из Pleasant Hill, Калифорния. Ты научил меня высшему пилотажу, Цезарь. И, наконец, я был бы полным идиотом, если бы не поблагодарил The Newsh за высокий профессионализм и за все качества отличного парня. Спасибо тебе за все, Тим. Отзывы читателей об этой книге"Эта книга даст вам возможность изучить некоторые опасные сценарии и побывать в роли администратора системы защиты сети. Описанные здесь методы позволят читателю научиться выслеживать незаконных гостей и пути их вторжения. Книга понравится и новичкам в деле защиты, так как в ней приведены решения сложнейших задач, и старым профи, которые наверняка захотят использовать излагаемую информацию для тестирования своих навыков борьбы против профессионалов по взлому. Небезынтересной она будет даже для работников службы безопасности, поскольку они смогут применять изученные методики защиты для улучшения политики безопасности своих организаций. Книга просто великолепна". Симпл Номанд (Simple Nomand), известный эксперт в области безопасности NT/NetWare/Internet, автор книги "The Hack FAQ and Pandora" "К несчастью, процесс улаживания жизненных проблем никогда не проходит "гладко" - он представляет набор вымышленных задач и их решений. Эта книга предлагает реальные сценарии, которые приходится ежедневно выполнять администраторам компьютерных сетей. Поскольку ни задачи, ни пути их решения не могут быть идеальными, у вас наверняка будет возникать вопрос: "Что бы сделал на их месте я?" Рейн Форест Паппи (Rain Forest Puppy (RFP)), специалист в области безопасности Web-серверов, исследователь уязвимых мест защиты серверов IIS "Безопасность любой страны зависит от надежной защиты общедоступных систем передачи информации. Описание реальных примеров дает возможность узнать не только о технической стороне вторжения, но и о стиле работы взломщиков. Недостаточно защищаться только от текущих атак, - с помощью информации из этой книги мы сможем отражать будущие атаки еще до того, как они начнутся." Питер Маджи Затко (Peiter Mudge Zatko), ведущий специалист и вице-президент R&D, @stake, Inc. "Написанная в стиле "разгадайте загадку", эта книга введет вас в мир занимательных и реальных сценариев, которые с одной стороны, будут бросать вам вызов, а с другой - обучать вас. Читая эти просто детективные истории, вы поймете, как выглядят реальные атаки, и противопоставите свой разум уму и опыту реальных взломщиков и реальным детективам, которым пришлось решать описанные здесь задачи". Тим Ньюшэм (Tim Newsham), исследователь в вопросах безопасности, @stake, Inc. "Описанные в этой книге сценарии громких инцидентов, о которых в свое время упоминалось даже в прессе, определенно заинтересуют даже самого технически умудренного профи в сфере информационной безопасности. Собранные здесь детали из разных сфер деятельности опытных сотрудников драматизируют ситуацию, а реальная информация помогает проверить аналитические способности мастерство любого достаточно проницательного читателя, который захочет разобраться в самых запутанных вопросах". Джойл Скэмбери (Joel Scambary), руководитель Foundstone, Inc., автор бестселлеров Секреты хакеров. Безопасность сетей - готовые решения, 2-е издание и Секреты хакеров. Безопасность Windows 2000 - готовые решения "Книга читается как захватывающий и очень запутанный роман. В ней рассматриваются только примеры из жизни, методы решения возникающих проблем, подробно описывается расследование инцидентов, связанных с посягательством на безопасность компьютерных сетей." Кевин Мандия (Kevin Mandia), судебный криминалист-эксперт по компьютерным взломам компании Foundstone; автор книги Incident Responce: Investigating Computer Crime
|
http://subscribe.ru/
E-mail: ask@subscribe.ru |
Отписаться
Убрать рекламу |
В избранное | ||