Nenechte si to od hackerů líbit

Možnosti obrany proti hackerům Stát se příslušníkem virtuální občanské sebeobrany nebo být "paketovým" pacifisto...


Možnosti obrany proti hackerům
Stát se příslušníkem virtuální občanské sebeobrany nebo být "paketovým"
pacifistou? Lidé zodpovědní za sítě mají smíšené pocity, když přemítají o tom,
zda vrátit úder. V minulém čísle Computerworldu jsme se věnovali útokům DoS,
dnes se na toto téma díváme z poněkud odlišného úhlu.
V prosinci loňského roku, když protestující běsnili v Seattlu, pokoušejíce se
překazit setkání Světové obchodní organizace na nejvyšší úrovni, jiní aktivisté
právě začínali útočit zbraní DoS (denial of service odepření služby) na Web
WTO. Avšak Web-hostingová služba, kterou WTO využívá, útok rozpoznala a
odpověděla na něj tak, že odpálila záplavu požadavků na natahování stránek zpět
do původního serveru, jenž byl provozován skupinou lidí, kteří sami sebe
nazývají electrohippies.
Koalice e-hippies sídlící ve Spojeném království nikdy veřejně nepotvrdila, že
útok byl obrácen zpět na její vlastní server. Avšak následující den se v sídle
e-hippies objevila poznámka omlouvající se za to, že "lidé měli problémy dostat
se" na jejich Web.
Podnikat odvetná opatření, nebo nepodnikat? V kyberprostoru na to neexistuje
žádná jednoduchá odpověď. Conxion, hostingová služba ze San José, která
obrátila útok vedený na WTO server, zjistila, že útok přichází z jediné IP
adresy patřící serveru e-hippies. "A tak jsme našemu filtračnímu softwaru dali
pokyn, aby přesměroval veškeré pakety přicházející z těchto strojů, zpět do
webového serveru e-hippies," řekl Brian Koref, vedoucí bezpečnostní analytik
společnosti Conxion.
Smíšené reakce
U Conxionu byli tak pyšní, že naordinovali útočníkům dávku jejich vlastní
drogy, že vydali tiskovou zprávu o tomto incidentu. Avšak reakce IT
profesionálů na odvetný úder byly smíšené.
Většina IT profesionálů, s nimiž jsme hovořili při přípravě tohoto článku,
řekla, že by v kyberprostoru neopláceli, neboť by se báli, že zasáhnou
nevinného přihlížejícího. Nebyli by však proti provedení takové akce, kdyby si
byli jisti identitou pachatele.
Pokud nějaké vodítko poskytují dodavatelské nástroje, aktivní obrana může
rozhodně získat souhlas IT komunity. Nástroje pro detekci průniků lze například
konfigurovat tak, aby automaticky obracely zpět útoky. Na trhu se též objevují
nové reaktivní nástroje a kromě toho na Webu naleznete i řadu freewarových
nástrojů pro reverzaci útoků.
Šedé zóny
Oponenti odvety říkají, že obrácení útoku se podobá braní zákona do vlastních
rukou. Obávají se toho, že mohou nechtěně odrazit útok zpět na nevinný cíl a
sami porušit zákon.
"Odplata je špatnou myšlenkou. Já bych to nedělal," říká Al Potter, manažer
síťových bezpečnostních laboratoří v ICSA Labs v Carliste (Pennsylvania).
"Je-li nezákonný jejich útok na vás, pak je rovněž nezákonné útočit na ně. A
pak zde máme celý ten problém s překračováním hranic států a zemí. Ani bych
nechtěl se do něčeho takového zaplést."
Nadporučík Chris Malinowski, jenž velí jednotce pro potírání počítačových
zločinů při oddělení městské policie v New Yorku, s tím souhlasí. "Jen proto,
že jsem oběť, nelze oplácet. Oplácení padouchovi není o nic lepší než samotný
zločin."
Jak Potter, tak i Malinowski říkají, že akce firmy Conxion spadají do šedé
zóny. Malinowski říká, že to, co tato firma udělala, by mohlo být kvalifikováno
jako odmítnutí pošty a její vrácení zpět odesilateli, tj. něco, co by v očích
zákona mohlo být uznáno za legální.
"Pokud by působili výhradně v rámci svého vlastního systému tak, aby během
útoku provedli preventivní akci, nebyl by to problém," říká Malinowski.
"Odmítnutí pošty je normální systémová administrační funkce. Kdyby však
připojili svou vlastní poštu a zaslali ji zpět do sídla e-hippies, může nastat
problém."
Poznejte svůj cíl
Conxion měl jasnou cestičku k serveru e-hippies v podobě IP adresy, takže bylo
snadné odrazit korespondenci zpět. Myslete však na to, že většina crackerů
spouští své útoky prostřednictvím usurpovaných IP adres. Únorové distribuované
DoS útoky, které vyřadily z provozu sídla Amazon. com, eBay a jiná, byly
zahájeny ze zombies, "živých mrtvol", nevinných strojů, které byly hackersky
zmanipulovány a následně přinuceny podřizovat se vůli útočníka. Kdyby v tomto
případě oběti odpověděly na útok odražením paketů zpět na zdrojovou IP adresu,
byly by sestřelily legitimní podnikatelské subjekty, které by neměly ani
potuchy o tom, že se podílejí na nějakých útocích.
"Byla by to čirá náhoda, dostat se do situace, kdy někdo skutečně útočí na váš
Web ze svého vlastního stroje. Typičtějším případem je, že cracker zmanipuluje
jednoho nebo několik poskytovatelů internetových služeb, a přitom se pomocí
Telnetu bude pohybovat od jednoho k druhému a vytvářet téměř nesledovatelnou
cestu skrze Internet," říká Greggory Peck, bezpečnostní analytik společnosti z
Fortune 500 a vydavatel novin HappyHacker.org.
Lance Dunsky, bezpečnostní manažer vládní agentury, kterou nechce jmenovat, ví
o případu, v němž systémový administrátor soukromé společnosti odpověděl na
útok hackera stejnou mincí. Naneštěstí IP adresa byla falešná a administrátor
udeřil na nevinný cíl, jenž na oplátku odrazil DoS útok zpět k systémovému
administrátorovi a informoval jeho nadřízené. Tento systémový administrátor
přišel o místo.
Dodavateli vše dovoleno?
Účinné lekce, jako je tato, však nezabrání dodavatelům, aby uváděli na trh
stále nové reaktivní technologie. Například společnosti Recourse Technologies z
Palo Alta (Kalifornie) a GTE Federal Networks Systems z Arlingtonu (Virginia),
prodávají technologie pro chytání crackerů do pastí, kterým říkají "medové
hrnce".
Jsou to síťové stroje, které fungují jako skutečné pasti na obtížný hmyz, jež
lákají crackery, takže lidé monitorující síť mohou pozorovat akce útočníka a
sbírat informace o jeho identitě (o nástroji od Recourse Technologies jsme vás
podrobně informovali v minulém čísle Computerworldu).
"Mezi soukromím a přijímáním agresivních protiopatření je úzká hranice," říká
Frank Huerta, prezident a CEO Recourse. "Náš nástroj ManTrap se hodně podobá
použití videokamery v obchodech."
Pozorování podezřelých aktivit a sbírání důkazů proti útočníkům je jednou věcí.
Ale jiní dodavatelé zvláště dodavatelé prostředků pro detekci průniků nabízejí
schopnost konfigurovat své nástroje tak, aby dělaly více než pouhou likvidaci
příchozích spojení. Mohou být rovněž nakonfigurovány tak, aby sledovaly IP
adresu a vracely útok DoS.
Peck říká, že prodejní personál bezpečnostních dodavatelů mu řekl, že by
spuštění odvetného úderu nedoporučoval, rovněž se však vychloubal, že jejich
produkt je schopen být naprogramován tak, aby jej spustil.
Ať již vám při tom pomáhá dodavatel či nikoliv, stále budete stát před
problémem zasažení nevinného cíle. "Jestliže je systém pro detekci průniků
naprogramován tak, aby automaticky odpovídal, mohli byste obrácením útoku proti
padělané IP adrese způsobit odepření služby nějaké nevinné strany," říká Scott
Blake, manažer bezpečnostního programu společnosti Bindview, internetového
bezpečnostního dodavatele z Hustonu.
Ovladač mrtvol
Bindview také prodává reaktivní nástroj s názvem Zombie Zapper (co takhle
"elektronický ovladač živých mrtvol"), jenž byl uveden na trh jako odpověď na
hrozby distribuovaných útoků DoS, který místo toho, aby odpovídal na útok
přicházející z IP adresy překračující zákon, si přisvojí roli "pána" nad
podřízenými stroji a pošle těmto otrokům příkaz, aby přestaly zasílat DoS
pakety. Podle Blaka byl Zombie Zapper během dvou týdnů po umístění na Web
downloadován více než 7 000krát.
Jak daleko až komerční dodavatelé s množstvím freewarových sebeobranných
nástrojů umístěných na Webu dojdou? A použijí profesionálové spravující sítě
tyto reaktivní nástroje?
Potter z ICSA říká, že většina produktů těchto legitimních dodavatelů nabízí
část této reaktivní schopnosti jako "rozinku na dortu" a myslí si přitom, že
tento trend nezajde příliš daleko. Dodavatelé podle něj nakonec nabídnou to, co
kupující chtějí, a kupující budou preferovat to, v čem uvidí lepší pasivní
ochranu poskytovanou existujícími nástroji než nové reaktivní schopnosti.
Velké ztráty
Manažeři podnikových sítí a bezpečnostní manažeři jsou stále více frustrováni
internetovou zločinností. Policisté se s ní nejsou schopni vypořádat. Lámání
systémů stojí i vyspělou podnikovou Ameriku hodně peněz, přičemž podle březnové
zprávy Institutu pro počítačovou bezpečnost ze San Francisca a FBI, finanční
ztráty způsobené počítačovými zločiny stály loni 273 amerických organizací
téměř 266 mil. dolarů.
Jaké je tedy řešení? Začněte s budováním své ofenzivní pozice. To znamená
utužení a následné testování bezpečnosti vaší síťové infrastruktury, počínaje
vašimi operačními systémy, včetně vyřešení hranice firewallů a směrovačů.
0 2026 / pen

Off the record:
Všichni říkají, že by to udělali
Toto není vědecká studie. Když se však Greggory Peck, vydavatel novin
"HappyHacker.org", zeptal svých IT čtenářů (většinou profesionálů v oboru
bezpečnosti a správy sítí), zda by opláceli hackerům, respondenti řekli, že
ano, pokud by k tomu byly dobré podmínky. Zde je několik jejich komentářů:
... Jsem skutečně více vývojářem než hackerem. Avšak pokud jde o fyzickou
sebeobranu, mám v tomto oboru určitou kvalifikaci. Učil jsem se používat
taktické střelné zbraně a Akido, a při své předchozí kariéře jsem byl nucen
aplikovat "fyzická protiopatření" přímo v terénu. Pokud jde o protiútoky v
kyberprostoru, mým hlavním problémem je skutečně identifikovat ničemu. Když už
o tom jde řeč, myslím si, že když jste schopni identifikovat padoucha a když je
protiúder nezbytný k utlumení přetrvávajícího útoku, hlasoval bych PRO
protiúder.
... Na světě neexistuje žádné policejní oddělení, které by skutečně disponovalo
prostředky pro polapení hackera, jenž pošle trojského koně s promyšleným
záměrem získat z vašeho počítače určitá data. Já jsem schopen ho vystopovat
rychleji než policejní oddělení a mohu mu poslat podobného trojského koně a
vymazat ukradené soubory z jeho počítače, případně vymazat další soubory dle mé
volby. Většina hackerů jsou hošíci ve věku 12 let, kteří používají předem
připravené nástroje. Pokud budou muset něco opravit, až přijde útok, řeknu,
dobře jim tak.
... Soudy obecně akceptují, že když k vám někdo přijde s nožem, je vaším právem
ho praštit. Ale když na vás chlápek vytáhne nůž a vy vytasíte granátomet, je to
něco jiného.

Užitečný freeware
Porty UDP (User Datagram Protocol) patří mezi první body, jimiž se snaží
hackeři o vstup. Nástroj Tambu UDP Scrambler (www.xploiter.com/tambu) slouží
nejen jako falešný UDP port, může být také použit pro poškození útočníkova
stroje prostřednictvím šikovného programu, jenž se nazývá UDP flooder
("zaplavovač" UDP). Na tomto Webu jsou k dispozici všechny druhy nástrojů pro
hacking i kladení odporu. Není však doporučeno je používat, protože to je
nezákonné.

Nové reaktivní nástroje
Kromě technologie chytání hackerů do pastí v podobě "medových hrnců" od
společností Recourse a GTE Federal Network Systems, je zde společnost Network
Ice ze San Matea v Kalifornii, která dělá nástroj nazývaný BlackIce Defender,
určený pro malé kanceláře a lidi pracující na dálku (www.networkice.com).
Společnost Network Ice právě oznámila smlouvu, podle níž bude Intel přibalovat
BlackIce uživatelům digitálních modemů připojených na DSL. BlackIce blokuje
některé pokusy o útoky a zachycuje IP adresu útočníka.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.