Atak złej woli

W minionym roku nasilił się nowy sposób atakowania sieci podłączonych do Internetu. Tym razem hakerom nie chodzi o wtargnięcie do korporacyjnej sieci, wykradzenie poufnych danych czy ośmieszenie autora strony WWW. Jedyny cel to zawieszenie sieci poprzez wysłanie ogromnej liczby ''błądzących'' pakietów IP.

W minionym roku nasilił się nowy sposób atakowania sieci podłączonych do Internetu. Tym razem hakerom nie chodzi o wtargnięcie do korporacyjnej sieci, wykradzenie poufnych danych czy ośmieszenie autora strony WWW. Jedyny cel to zawieszenie sieci poprzez wysłanie ogromnej liczby ''błądzących'' pakietów IP.

Istnieje wiele sposobów zakłócenia pracy urzędu pocztowego. Jednym z nich jest wysłanie ogromnej liczby przesyłek pocztowych na fikcyjny adres. Nawet jeżeli listonosz od razu zorientuje się, że wskazana ulica czy dom nie istnieją, sortowanie przesyłek z pewnością zdezorganizuje mu pracę na wiele godzin. Pocztowcy mogą jednak spać spokojnie, bo komuż chciałoby się wkładać do kopert setki czy tysiące bezsensownych listów, adresować je i naklejać znaczki, za które dodatkowo trzeba płacić. Inaczej jest w przypadku administratorów systemów komputerowych, zwłaszcza tych, które podłączone są do Internetu. Małym kosztem, praktycznie bez większej odpowiedzialności i wysiłku, można zakłócić pracę sieci komputerowej w miejscu odległym o tysiące kilometrów. Nie trzeba do tego mieć ani specjalnej wiedzy technicznej ani sprytu, które zwykle charakteryzują hakerów. Wystarczy zła wola.

Coraz trudniej

Łamanie zabezpieczeń broniących dostępu do sieci korporacyjnych różnych firm i przechowywanych w nich danych od dawna było wyzwaniem dla młodych fanatyków komputerów. Nierzadko przy częściowej społecznej akceptacji, hakerzy naruszają cudzą własność zwykle nie dla bezpośrednich korzyści finansowych, tak przynajmniej twierdzą, ale dla własnej satysfakcji, a nawet popularności, na którą mogą liczyć niektórzy z nich. Ominięcie zabezpieczeń jest potwierdzeniem dogłębnej znajomości atakowanych systemów operacyjnych i umiejętności wynajdywania luk w ich zabezpieczeniach.

Według specjalistów z dziedziny bezpieczeństwa sieci komputerowych, najpopularniejsze systemy operacyjne są jednak lepiej przygotowane na ewentualne ataki hakerów i coraz trudniej się do nich włamać. Dzieje się tak zarówno za sprawą producentów oprogramowania, którzy znają już sporą część technik wykorzystywanych przez włamywaczy i nierzadko sami zatrudniają ich do testowania bezpieczeństwa, jak też administratorów sieci korporacyjnych, którzy zaczęli doceniać niebezpieczeństwo, jakie niesie ze sobą podłączenie do światowej sieci Internet. Na bieżąco udostępniane są przez producentów sprzętu sieciowego i systemów operacyjnych poprawki, które "łatają" luki w systemie zabezpieczeń. Administrator zmuszony jest tylko do ich instalowania w zarządzanej sieci. Praktyka ta nie do końca sprawdza się w Polsce, gdzie przedstawiciele producentów często pozostawiają użytkownika bez należytego wsparcia, nie oferując mu odpowiednich uaktualnień systemu z poprawionymi mechanizmami bezpieczeństwa.

Powódź pakietów

W ciągu minionego roku nasilił się nowy rodzaj ataków na urządzenia podłączone do Internetu. W związku z tym, że coraz trudniej wykraść dane z serwerów korporacyjnych, hakerzy czy raczej "sieciowi wandale" szukają coraz to nowych sposobów otwarcia kolejnych "furtek" w systemach bezpieczeństwa. Nie wyszukują jednak bezpośrednio błędów w konkretnym systemie operacyjnym, tylko tworzą specjalne programy wykorzystujące niedoskonałość protokołów komunikacyjnych, w tym najpopularniejszego w Internecie protokołu TCP/IP.

W ten sposób powstała seria nowych ataków na sieci IP, opartych na jednej idei - "zalania" konkretnego urządzenia tak dużą liczbą pakietów, że nie będzie ono w stanie realizować innej funkcji niż potwierdzanie ich otrzymania. Nie są to już typowe włamania do systemów informatycznych, ponieważ nie prowadzą one do wykradzenia danych i nie ułatwiają hakerom dostania się do atakowanego systemu. Pozwalają one spowolnić bądź też całkowicie zawiesić pracę urządzenia mającego własny numer IP.

Historia

Pierwsze, mniej wyrafinowane niż obecnie ataki denial-of-service (DoS), bo takim wspólnym terminem określa się tę serię ataków, przeżywały kilka lat temu systemy unixowe, które były podstawową platformą ówczesnych serwerów korporacyjnych. Dzięki temu, że w ciągu tych kilku lat "załatane" zostały pewne "dziury" w ich systemach bezpieczeństwa, obecnie są one mniej podatne na niektóre spośród nowych form ataku.

Nowy system Windows NT oraz Net- Ware Novella, który niedawno został wzbogacony o obsługę protokołu IP, znacznie częściej padają ofiarami internetowego wandalizmu. Problem ten dotyczy także w dużym stopniu komputerów osobistych wyposażonych w systemy Windows oraz MacOS, które praktycznie nie oferują zabezpieczeń przed sieciowymi atakami.

Jeden z pierwszych ataków nowej fali był opracowany pod koniec ubiegłego roku "SYN flood". Polegał on na tym, że włamywacz żądał otwarcia sesji TCP/IP na atakowanym serwerze (bądź innym urządzeniu). Atakowany komputer otwierał taką sesję i przez 90 s czekał na potwierdzenie ze strony komputera włamywacza. Zwykle w takiej sytuacji maszyna inicjująca połączenie wysyła potwierdzenie i rozpoczyna się sesja komunikacyjna. Jednak w przypadku ataku włamywacza sytuacja wyglądała inaczej.

Specjalny program przygotowany przez hakera nie wysyła bowiem potwierdzenia, lecz ponownie żąda otwarcia sesji komunikacyjnej. Sytuacja taka powtarza się nawet do kilkuset razy na minutę, co powoduje, że atakowane urządzenie nie robi nic poza otwieraniem kolejnych sesji komunikacyjnych i wysyłaniem prośby o potwierdzanie chęci podtrzymania komunikacji ze strony komputera inicjującego połączenie. Jeśli system sieciowy obsługujący to urządzenie nie jest przygotowany na taki rodzaj ataku, to najczęściej zostaje przeciążony i jego zwykła praca zostaje przerwana.

Okazało się jednak, że na błąd ten wrażliwe są tylko niektóre systemy operacyjne i praktycznie wcale nie dotyczy on urządzeń sieciowych, takich jaki routery i przełączniki, które z zasady mają wbudowane odpowiednie mechanizmy zabezpieczeń przed tym atakiem.

SYN flood stwarzał problemy dużym firmom amerykańskim, które nękane były w ten sposób przez nie zidentyfikowanych sprawców. Nie zidentyfikowanych, ponieważ włamywacze fałszowali przesyłany w każdym pakiecie sieciowym numer IP określający nadawcę.

Naśladowców jest wielu

Największym jak dotąd "powodzeniem" wśród internetowych wandali cieszył się atak nazywany Ping-of-Death - głównie z tego powodu, że mógł być uruchomiony praktycznie z dowolnej stacji wyposażonej w system operacyjny Windows 95 lub Windows NT, bez potrzeby stosowania dodatkowego programu. Wystarczyło by użytkownik tego systemu wpisał polecenie ping (stosowane zwykle do testowania czy zdalne urządzenia są dostępne i jaki jest ich czas odpowiedzi) i pod adres IP atakowanego urządzenia wysłał specjalny pakiet sieciowy (potrafią to zrobić tylko systemy Microsoftu).

Pakiet taki dzielony jest na części, które przesyłane są za pośrednictwem sieci komputerowej do docelowego urządzenia. Tam ponownie jest on składany i może się okazać, że jego rozmiar jest na tyle duży, iż przeciąża bufor atakowanych urządzeń. Takie działania mogą powodować różne efekty w przypadku różnych systemów - mogą się one zawieszać, ponownie uruchamiać, znacznie spowalniać pracę. Niektóre systemy w ogóle nie reagują na ten sposób ataku.

Po pojawieniu się tego ataku okazało się, że niewiele urządzeń sieciowych i systemów operacyjnych potrafi poprawnie go odpierać. Jedynym pewnym sposobem zabezpieczenia się przed Ping-of-Death było wyłączenie przesyłania ramek ICMP (to za ich pomocą wykonywane jest polecenie ping) przez firmowy firewall lub też zablokowanie przesyłania takich ramek bezpośrednio na routerze łączącym firmę z Internetem. Obecnie dostępne są już odpowiednie poprawki do systemów operacyjnych, uniemożliwiające zdalnym komputerom przypuszczenie ataku Ping-of-Death. (Szczegółową listę urządzeń odpornych i nieodpornych na ten atak można znaleźć pod adresemhttp://www.sophist.demon.co.uk/ping ).

Atak lądowy

Najskuteczniejszą - jak dotąd - metodą atakowania urządzeń pracujących w sieciach IP okazał się jednak program land.c, opracowany i udostępniony pod koniec listopada przez licealistę Hugo Brentona z Montrealu, znanego w sieci pod pseudonimem Meltman. Brenton opracował nowy sposób atakowania sieci, który określany jest jako Land Attack.

16-latek sądził, że wykrył lukę w systemie bezpieczeństwa Windows 95 i poinformował nawet o tym fakcie Microsoft. Wbrew jego przypuszczeniom, szybko okazało się, że problem ten dotyczy nie tylko Windows 95, ale także innych systemów operacyjnych, pozwalających na pracę w sieci. Nie radzą sobie z nim także urządzenia sieciowe wielu producentów, m.in. Cisco, którego routery stanowią ok. 60% wszystkich urządzeń wykorzystywanych do komunikacji w Internecie. Land.c udostępniony przez Brentona na listach dyskusyjnych UseNet szybko trafił w ręce internetowych wandali, którzy obecnie "nękają" nim wybrane serwery dostępne z Internetu.

Land Attack działa w inny sposób niż wszystkie opracowane dotąd metody ataku. Program land.c generuje bowiem pakiet, który zarówno w polu określającym nadawcę, jak i w polu adresata zawiera dokładnie ten sam numer IP - adres atakowanego urządzenia. Pakiet taki wysyłany jest następnie do tego urządzenia. Próbuje ono zainicjować sesję komunikacyjną z samym sobą. Następuje zapętlenie, w wyniku czego urządzenie znacznie spowalnia swoją pracę lub też całkowicie ją przerywa.

Polskie reperkusje

"Z przykrością informujemy, że spowolnione działanie łącza internetowego nie jest wynikiem awarii naszych urządzeń..." - tak zaczynający się list otrzymali w grudniu ub.r. klienci jednej z polskich firm świadczących usługi internetowe. W dalszej części listu przedstawiciele firmy informują, że powodem mało wydajnego działania łącza jest atak polegający na bombardowaniu sieci dostawcy usług internetowych strumieniem pakietów IP, które w polu nadawcy i adresata mają dokładnie ten sam numer IP. Aby jak najszybciej rozwiązać problem, firma zdecydowała się zakupić nowy router brzegowy, który lepiej będzie radzić sobie z obsługą takich pakietów.

Wszyscy warszawscy dostawcy usług internetowych, których pytaliśmy o Land Attack świadomi byli istnienia takiej metody atakowania sieci IP, ale jednocześnie nie stwierdzili przypadków ataków na własne sieci. "Nie mieliśmy - jak na razie - kłopotów spowodowanych tym atakiem, w dużej mierze dzięki temu, że nasza sieć oddzielona jest od Internetu firewallem, który filtruje wszystkie podejrzane pakiety. Obecnie oprogramowanie firmowe naszych routerów aktualizowane jest do najnowszej wersji, więc ten problem ich także wkrótce nie będzie dotyczył" - mówi przedstawiciel jednej z firm internetowych.

Jak twierdzą przedstawiciele dostawców usług internetowych, najwięksi klienci zostali poinformowani o potencjalnym zagrożeniu jakie niesie Land Attack oraz o tymczasowych sposobach zabezpieczenia. Żaden z naszych rozmówców z polskich przedsiębiorstw podłączonych do Internetu - do tej pory - nie spotkał się z tego typu problemem.

Problem dotyczy każdego

Na Land Attack potencjalnie narażony jest każdy serwer pracujący pod kontrolą Windows NT bądź NetWare, o ile tylko obsługuje protokół TCP/IP i "widoczny" jest bezpośrednio z Internetu. Pewnym zabezpieczeniem jest oprogramowanie firewall, które można skonfigurować w taki sposób, by nie przepuszczało niechcianych pakietów do wnętrza sieci korporacyjnej. Włamywacz może jednak zaatakować wtedy bezpośrednio router, który znajduje się poza obszarem pracy firewalla i w ten sposób uniemożliwić firmie dostęp do Internetu. Ten rodzaj ataku nie jest jednak tak niebezpieczny, jak zawieszenie serwera plikowego bądź aplikacyjnego, na którym pracuje kilkuset użytkowników.

Opinię tę potwierdza Paweł Madziar, administrator serwisu pocztowego w warszawskiej firmie Polbox. Jego zdaniem, każdy kto nie odetnie swojej sieci firewallem prędzej czy później może się spodziewać ataku hakera. "Taki atak może przeprowadzić każdy. W Internecie dostępne są już specjalne strony WWW, na których wystarczy podać adres IP "wrogiego" serwera, by automatycznie uruchamiana aplikacja zajęła się jego zawieszeniem" - dodaje.

Jak się zabezpieczyć

Nie wszystkie firmy stać na zakup oprogramowania typu firewall. Tylko niektóre z podłączonych do Internetu gotowe są dobrowolnie się od niego odłączyć, aby zmniejszyć ryzyko ataku włamywaczy (a jest to jedyny pewny sposób). Najważniejsze dla administratora odpowiedzialnego za bezpieczeństwo sieci korporacyjnej jest kontrola informacji dotyczących luk w wykorzystywanych systemach operacyjnych oraz oprogramowaniu systemowym urządzeń sieciowych. Konieczne jest także instalowanie wszystkich poprawek dostarczanych przez producentów sprzętu i oprogramowania - choć pojawiają się one z opóźnieniem, to w lepszy sposób rozwiązują problemy niż środki doraźne, polegające np. na całkowitym wyłączeniu obsługi pewnych protokołów na poziomie routera.

Land Attack nie jest bynajmniej ostatnim sposobem atakowania sieci IP. Z pewnością pojawią się kolejne, jeszcze bardziej wyrafinowane metody zdalnego zawieszania urządzeń pracujących w sieciach komputerowych. Nie można być na nie przygotowanym, ale można szybko reagować na ich pojawienie się. Od tego zależy bezpieczeństwo danych, przechowywanych w systemach informatycznych, oraz ciągłość ich pracy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200