Страница:
сервер молчит, посетители не могут на него попасть, администратору -
головная боль и борьба с неисправностями, а начальству - отмывание мундира и
денежные проблемы, все это -- с гарантией.
А раз так, то неспециалистам (то есть подавляющему большинству) можно
не тратить время и не забивать себе голову изучением, какие типы, виды и
подвиды взломов, атак и т. д. существуют. Неприятности во всех случаях
получаются совершенно идентичные. Зато, пожалуй, стоит проклассифицировать
причины отказа системы.
1. Злонамеренное внешнее вмешательство ("Хакер")
2. Злонамеренное внутреннее вмешательство ("Засланный казачок")
3. Непреднамереное внутреннее головотяпство ("Акела промахнулся")
4. Программно-аппаратная неисправность ("Ломается все")
Как легко догадаться, от "казачка" защититься невозможно в принципе.
Понизить вероятность "поломок" можно, вложив деньги в более дорогое и
надежное оборудование. Отказы из-за ошибки обслуживающего персонала,
администратора, программиста - неизбежны и регулярны, вероятность их, по
сравнению со всеми остальными бедами, наиболее высокая.
В этом свете борьба с хакерами становится уже не столь актуальной, шум
вокруг них кажется непропорционально громким, и покупка очень надежного (и
очень дорогого) файрволла, возможно, уже не покажется вам панацеей от всех
бед. Конечно, приятно иметь в своем дачном домике стальную бронебойную
дверь. Но если стены - из фанеры, если окна закрыты на крючок из проволоки,
если к чердаку приставлена лестница - то злодей все равно проникнет внутрь.
Так не лучше ли вместо покупки стальной двери купить дверь деревянную но с
хорошим замком, а на сэкономленную сумму купить рамы с решеткой и замок для
чердака? Воплощая аналогии - сэкономив деньги на файрволле (а цены на
коммерческий файрволл находятся в интервале от 10 до 30 тысяч долларов),
можно их вложить с большей (для обеспечения надежности) отдачей - в
оборудование, в обучение сотрудников, в повышенную зарплату, на которую
можно будет нанять квалифицированного администратора, делающего меньше
ошибок, чем новичок-самоучка.
Спамеры, рассылающие по всему свету свои рекламные письма, давно не
пользуются своими собственными выделенными почтовыми серверами. Потому что
их мгновенно засекают и отключают провайдеры. А провайдеры отключают
спамеров, чтоб самим не остаться в изоляции, потому что если они этого не
сделают, то соседи перестанут принимать от провайдеров-нарушителей _любую_
почту. Спрашивается - почему в Москве между некоторыми адресами не ходит
почта? (Не буду уточнять, между кем и кем, чтоб не обвинить невиновных - но
пользователи, конечно, знают эти непроходимые адреса.) Потому что кое-кто из
наших провайдеров не в состоянии придавить заведшихся у них спамеров.
Современный спамер находит чужой почтовый сервер, в котором (по недосмотру
системного администратора) разрешен relaying (пересылка почты от "чужих"
адресов на "чужие" адреса). Что позволяет спамеру послать через эту машину
спам по всему миру.
Задумаемся на секунду - что произойдет с машиной, которой поручили
разослать письма по списку в несколько сотен тысяч адресов. В принципе,
ничего особо страшного - письма осядут в очереди (немаленькой), и машина
будет их потихоньку, по несколько десятков единовременно, рассылать -- и так
в течении нескольких дней. Грозить вам это будет сильной загрузкой
процессора и выходного интернетовского канала, а также - бааальшим счетом от
провайдера за зарубежный траффик. Но это только начало.
Среди сотен тысяч адресов - процентов 20 - являются устаревшими и
недействительными. На каждое недоставленное письмо машина получит письмо от
"демона-почтаря" (mailer-daemon) - о недоставке сообщения. И пойдут они
сплошным потоком, тысячи запросов на соединение единовременно. Получаем
классический DoS - на SMTP-шный порт сваливается огромное количество
запросов с которыми машина справиться не успевает. Unix-ы обычно это
переносят с большим трудом, тратя ВСЕ свои силы на прием почты - при этом
прекращая обслуживать обычных посетителей. Windows NT - гарантированно
умирает. Усугубляет разницу то, что современные версии сетевых Unix - Linux
и FreeBSD по умолчанию ставятся с отключенным relayng'ом, а Windows NT - с
разрешенным.
Печальная история: один мой знакомый провайдер жаловался, что клиенты,
которых он подключал на этой неделе по выделенному каналу, достали его
жалобами: "сломалась, не работает почта, помогите". Все пять клиентов, как
один. Каждый перед этим решил поставить свой собственный почовый сервер. На
Windows NT.
Не подумайте, что я непоследователен и призываю наплевать на
безопасность, выкинуть файволлы и заниматься вместо этого
административно-хозяйственными вопросами. Конечно нет. И файрволл нужен, и о
хакерах надо не забывать. Просто надо смотреть на проблему комплексно,
сбалансированно распределять ресурсы, и не забывать обо _всех_ узких местах.
И о хакерах - тоже.
Нынешний среднестатический взломщик хакером в большинстве своем
называться не имеет права. Это обычный подросток или недоучившийся студент,
места в жизни не нашедший. Для большинства обнаруженных в операционных
системах дыр уже написаны программы, которые сами прощупывают окружающие
хосты, сами определяют в них наличие дырок, сами ломают, сами закидывают в
проломанную дыру крючки и закладки. Чтоб стать "хакером" теперь, достаточно
наковырять себе этих программ посвежее, а дальше остается просто их
запускать и нажимать кнопку "Ok".
Чтобы защититься от таких взломщиков, достаточно внимательно
отслеживать листы-рассылки с оповещениями об обнаруженных дырках в своей
операционной системе и затыкать их _СРАЗУ_. Обычно дырки, эксплойты (т. е.
спосбы использования дырок) и заплатки для них же становятся известны
практически одновременно, и если не тормозить и затыкать все по мере
обнаружения, то на пролом через очередную дыру хакерам останется не так уж
много времени.
Самое незащищенное состояние сервера - в момент его инсталляции и
начальной конфигурации. ЛЮБАЯ свеже-проинсталлированная операционная система
имеет дырки в безопасности - поскольку дистрибутив был напечатан давно, а
security-патчи, появившиеся с тех пор, надо ставить дополнительно.
На время инсталляции операционной системы на интернет-сервер
ОБЯЗАТЕЛЬНО отключите его от Интернета.
Печальная история: Один мой знакомый настраивал сервер прямо в
Интернете. Его нащупали и взломали сразу, в тот краткий промежуток (всего
около 15 минут) пока у него уже был включен IP-роутинг, но еще не были
доставлены заплатки. Никто за ним специально не охотился, просто какие-то
умельцы гоняли в это время сканирующую программу и случайно натолкнулись на
его машину. Сквозь дырку в imap4 ему закинули на машину root-toolkit - эта
система заменяет многие привычные юниксовские команды на свои версии, с
троянцами. При этом подменяются комады типа ls (просмотр директорий), ps
(просмотр запущенных заданий) и другие, и они прячут, не показывают
результаты работы хакерской программы. Таким образом, взломщик становится
"невидимым" для хозяина машины, а установленная им хакерская программа тем
временем уже занялась сканированием локальной сети и подслушиванием паролей,
с которыми пользователи ходили на соседние компьютеры...
Конфигурация по умолчанию свежепроинсталлированного Юникс-сервера
расчитана на дружественное сетевое окружение. Многие сервисы находятся в
открытом состоянии (т. е. в положении "всем можно") - что удобно в локальной
корпоративной сети, но абсолютно неприемлемо в сети общего доступа.
Необходимо ОБЯЗАТЕЛЬНО перевести машину из расслабленного режима по
умолчанию в режим строгой безопасности (т. е. когда запрещено все и всем,
кому это явно не разрешено). Это касается всех сетевых служб - начиная с
удаленного логина и FTP и кончая принтером и комадами talk, finger и т. п.
Веселая история: Когда я выставил свой уже доконфигуренный сервер в
общий доступ, в первые же часы в его логах записались попытки удаленных
логинов и подбора паролей из Японии и Польши.
Получается, что хакеры бродят толпами, вооруженные
программами-сканерами, ошибаться - нельзя, взломать или хотя бы завалить -
могут практически каждого, и нет защиты. Как же жить то тогда?
Смотрите на жизнь проще. В конце кнцов - по релаьным улицам нашего
реального города ходят хулиганы и маньяки, ходят с дубинками и пистолетами.
Каждый из нас может слопотать по физиономии, да и просто зарезать могут в
подворотне - или в квартире окна побить, и никакой защиты не будет. Не
станешь ведь ходить всю жизнь в бронежилете и с двумя телохранителями за
спиной. Однако же живем, не боимся. Не так страшен черт, как его малюют,
нормальных людей - большинство, хулиганов на всех никак не хватит - нас
спасает принцип "неуловимого Джо". А так же - разумная осторожность, и
грамотные системные администраторы операционной системы Unix.
головная боль и борьба с неисправностями, а начальству - отмывание мундира и
денежные проблемы, все это -- с гарантией.
А раз так, то неспециалистам (то есть подавляющему большинству) можно
не тратить время и не забивать себе голову изучением, какие типы, виды и
подвиды взломов, атак и т. д. существуют. Неприятности во всех случаях
получаются совершенно идентичные. Зато, пожалуй, стоит проклассифицировать
причины отказа системы.
1. Злонамеренное внешнее вмешательство ("Хакер")
2. Злонамеренное внутреннее вмешательство ("Засланный казачок")
3. Непреднамереное внутреннее головотяпство ("Акела промахнулся")
4. Программно-аппаратная неисправность ("Ломается все")
Как легко догадаться, от "казачка" защититься невозможно в принципе.
Понизить вероятность "поломок" можно, вложив деньги в более дорогое и
надежное оборудование. Отказы из-за ошибки обслуживающего персонала,
администратора, программиста - неизбежны и регулярны, вероятность их, по
сравнению со всеми остальными бедами, наиболее высокая.
В этом свете борьба с хакерами становится уже не столь актуальной, шум
вокруг них кажется непропорционально громким, и покупка очень надежного (и
очень дорогого) файрволла, возможно, уже не покажется вам панацеей от всех
бед. Конечно, приятно иметь в своем дачном домике стальную бронебойную
дверь. Но если стены - из фанеры, если окна закрыты на крючок из проволоки,
если к чердаку приставлена лестница - то злодей все равно проникнет внутрь.
Так не лучше ли вместо покупки стальной двери купить дверь деревянную но с
хорошим замком, а на сэкономленную сумму купить рамы с решеткой и замок для
чердака? Воплощая аналогии - сэкономив деньги на файрволле (а цены на
коммерческий файрволл находятся в интервале от 10 до 30 тысяч долларов),
можно их вложить с большей (для обеспечения надежности) отдачей - в
оборудование, в обучение сотрудников, в повышенную зарплату, на которую
можно будет нанять квалифицированного администратора, делающего меньше
ошибок, чем новичок-самоучка.
Спамеры, рассылающие по всему свету свои рекламные письма, давно не
пользуются своими собственными выделенными почтовыми серверами. Потому что
их мгновенно засекают и отключают провайдеры. А провайдеры отключают
спамеров, чтоб самим не остаться в изоляции, потому что если они этого не
сделают, то соседи перестанут принимать от провайдеров-нарушителей _любую_
почту. Спрашивается - почему в Москве между некоторыми адресами не ходит
почта? (Не буду уточнять, между кем и кем, чтоб не обвинить невиновных - но
пользователи, конечно, знают эти непроходимые адреса.) Потому что кое-кто из
наших провайдеров не в состоянии придавить заведшихся у них спамеров.
Современный спамер находит чужой почтовый сервер, в котором (по недосмотру
системного администратора) разрешен relaying (пересылка почты от "чужих"
адресов на "чужие" адреса). Что позволяет спамеру послать через эту машину
спам по всему миру.
Задумаемся на секунду - что произойдет с машиной, которой поручили
разослать письма по списку в несколько сотен тысяч адресов. В принципе,
ничего особо страшного - письма осядут в очереди (немаленькой), и машина
будет их потихоньку, по несколько десятков единовременно, рассылать -- и так
в течении нескольких дней. Грозить вам это будет сильной загрузкой
процессора и выходного интернетовского канала, а также - бааальшим счетом от
провайдера за зарубежный траффик. Но это только начало.
Среди сотен тысяч адресов - процентов 20 - являются устаревшими и
недействительными. На каждое недоставленное письмо машина получит письмо от
"демона-почтаря" (mailer-daemon) - о недоставке сообщения. И пойдут они
сплошным потоком, тысячи запросов на соединение единовременно. Получаем
классический DoS - на SMTP-шный порт сваливается огромное количество
запросов с которыми машина справиться не успевает. Unix-ы обычно это
переносят с большим трудом, тратя ВСЕ свои силы на прием почты - при этом
прекращая обслуживать обычных посетителей. Windows NT - гарантированно
умирает. Усугубляет разницу то, что современные версии сетевых Unix - Linux
и FreeBSD по умолчанию ставятся с отключенным relayng'ом, а Windows NT - с
разрешенным.
Печальная история: один мой знакомый провайдер жаловался, что клиенты,
которых он подключал на этой неделе по выделенному каналу, достали его
жалобами: "сломалась, не работает почта, помогите". Все пять клиентов, как
один. Каждый перед этим решил поставить свой собственный почовый сервер. На
Windows NT.
Не подумайте, что я непоследователен и призываю наплевать на
безопасность, выкинуть файволлы и заниматься вместо этого
административно-хозяйственными вопросами. Конечно нет. И файрволл нужен, и о
хакерах надо не забывать. Просто надо смотреть на проблему комплексно,
сбалансированно распределять ресурсы, и не забывать обо _всех_ узких местах.
И о хакерах - тоже.
Нынешний среднестатический взломщик хакером в большинстве своем
называться не имеет права. Это обычный подросток или недоучившийся студент,
места в жизни не нашедший. Для большинства обнаруженных в операционных
системах дыр уже написаны программы, которые сами прощупывают окружающие
хосты, сами определяют в них наличие дырок, сами ломают, сами закидывают в
проломанную дыру крючки и закладки. Чтоб стать "хакером" теперь, достаточно
наковырять себе этих программ посвежее, а дальше остается просто их
запускать и нажимать кнопку "Ok".
Чтобы защититься от таких взломщиков, достаточно внимательно
отслеживать листы-рассылки с оповещениями об обнаруженных дырках в своей
операционной системе и затыкать их _СРАЗУ_. Обычно дырки, эксплойты (т. е.
спосбы использования дырок) и заплатки для них же становятся известны
практически одновременно, и если не тормозить и затыкать все по мере
обнаружения, то на пролом через очередную дыру хакерам останется не так уж
много времени.
Самое незащищенное состояние сервера - в момент его инсталляции и
начальной конфигурации. ЛЮБАЯ свеже-проинсталлированная операционная система
имеет дырки в безопасности - поскольку дистрибутив был напечатан давно, а
security-патчи, появившиеся с тех пор, надо ставить дополнительно.
На время инсталляции операционной системы на интернет-сервер
ОБЯЗАТЕЛЬНО отключите его от Интернета.
Печальная история: Один мой знакомый настраивал сервер прямо в
Интернете. Его нащупали и взломали сразу, в тот краткий промежуток (всего
около 15 минут) пока у него уже был включен IP-роутинг, но еще не были
доставлены заплатки. Никто за ним специально не охотился, просто какие-то
умельцы гоняли в это время сканирующую программу и случайно натолкнулись на
его машину. Сквозь дырку в imap4 ему закинули на машину root-toolkit - эта
система заменяет многие привычные юниксовские команды на свои версии, с
троянцами. При этом подменяются комады типа ls (просмотр директорий), ps
(просмотр запущенных заданий) и другие, и они прячут, не показывают
результаты работы хакерской программы. Таким образом, взломщик становится
"невидимым" для хозяина машины, а установленная им хакерская программа тем
временем уже занялась сканированием локальной сети и подслушиванием паролей,
с которыми пользователи ходили на соседние компьютеры...
Конфигурация по умолчанию свежепроинсталлированного Юникс-сервера
расчитана на дружественное сетевое окружение. Многие сервисы находятся в
открытом состоянии (т. е. в положении "всем можно") - что удобно в локальной
корпоративной сети, но абсолютно неприемлемо в сети общего доступа.
Необходимо ОБЯЗАТЕЛЬНО перевести машину из расслабленного режима по
умолчанию в режим строгой безопасности (т. е. когда запрещено все и всем,
кому это явно не разрешено). Это касается всех сетевых служб - начиная с
удаленного логина и FTP и кончая принтером и комадами talk, finger и т. п.
Веселая история: Когда я выставил свой уже доконфигуренный сервер в
общий доступ, в первые же часы в его логах записались попытки удаленных
логинов и подбора паролей из Японии и Польши.
Получается, что хакеры бродят толпами, вооруженные
программами-сканерами, ошибаться - нельзя, взломать или хотя бы завалить -
могут практически каждого, и нет защиты. Как же жить то тогда?
Смотрите на жизнь проще. В конце кнцов - по релаьным улицам нашего
реального города ходят хулиганы и маньяки, ходят с дубинками и пистолетами.
Каждый из нас может слопотать по физиономии, да и просто зарезать могут в
подворотне - или в квартире окна побить, и никакой защиты не будет. Не
станешь ведь ходить всю жизнь в бронежилете и с двумя телохранителями за
спиной. Однако же живем, не боимся. Не так страшен черт, как его малюют,
нормальных людей - большинство, хулиганов на всех никак не хватит - нас
спасает принцип "неуловимого Джо". А так же - разумная осторожность, и
грамотные системные администраторы операционной системы Unix.