безопасность :: разное

Каждые пять минут в мире происходит две DOS-атаки



Безопасность и защита информации Каждые пять минут в мире происходит две DOS-атаки
Калифорнийский университет Сан-Диего (США) опубликовал результаты исследования, проведенного в Сети по вопросу о хакерских атаках на интернет-серверы типа DOS (Denial of Service, "отказ в обслуживании"). За три недели, которые проходило исследование, ученые зарегистрировали 12 805 DOS-атак, направленных против 5 тыс. серверов. В течение недели исследователи установили, что ежечасно 150 IP-адресов становятся жертвами DOS-атак.
Среди двух тысяч пострадавших организаций — в основном компании, занимающиеся электронной торговлей, такие как Amazon, а также различные интернет-сервисы типа Hotmail. О большинстве этих нападений средства массовой информации не сообщают. Длительность этих атак различна. Более 50% из них длятся не более 10 минут, 80% — не более 30 минут, и 90% — не более часа. Как показывает исследование, среди наиболее "соблазнительных" для хакеров — домены .com и .net (15% атак), сразу за ними следуют .ro (Румыния) и .br (Бразилия), соответственно 13 и 6% атак, затем .org, .edu, .ca (Канада), .de (Германия) и .uk (Великобритания). Содержание полного текста отчета Калифорнийского университета для CNews.ru прокомментировал Андрей Д. (Duke), координатор проектов Void.ru, Netstat.ru.
"Вступление к отчету по исследованиям обзорно описывает принципы функционирования систем обнаружения атак, применявшихся в ходе съема информации о попытках атак denial-of-service, а также основные типы регистрируемой подозрительной активности. Большая часть технических спецификаций посвящена описанию разнообразных методов атак, связанных с перегрузкой трафика объекта атаки и/или компонентов, входящих в состав его upstream. Большая часть технических спецификаций по описанным средствам dos была опубликована около года назад (к примеру, проект void.ru опубликовал технические спецификации системы распределенных атак trinoo еще в 1999 году), а прочие методы (к примеру, broadcast amplification (smurf), syn flood) известны уже порядка нескольких лет.
Особенностью последнего класса атак является следующий принцип действия: атакующий посылает на какой-либо открытый порт объекта ряд TCP-пакетов с установленным флагом SYN и неверными случайно сгенерированными обратными адресами. Объект атаки отвечает на данные адреса пакетом с флагами SYN/ACK, свидетельствующими о готовности к соединению, и при достаточно большом объеме трафика вскоре перестает реагировать на запросы установки соединения. Данный тип атаки известен уже несколько лет.
При условии, что какой-либо из случайно сгенерированных адресов будет действительно соответствовать функционирующей системе, ответ SYN/ACK будет принят и обработан системой, оказавшейся на месте случайно выбранного IP-адреса, и объект атаки получит от данной системы ICMP-пакет, указывающий на невозможность соединения (первоначальный пакет был послан атакующим и имеет несоответствие по tcp sequence number с пакетом, полученным от реальной системы, совпавшей по сгенерированному адресу).
Данный общеизвестный тип атаки, как ни странно, послужил опорой для проводимого исследования. Дело в том, что именно тот факт, что обратные адреса генерируемых пакетов выбираются случайно, позволил применить методы теории вероятности к анализу данного типа инцидентов. При условии, что атакующий послал m пакетов со случайными обратными адресами, вероятность получения нежелательного для объекта ответа равна m/2^32 (2^32 — общая емкость адресного пространства IPv4). Тогда получается, что наблюдатель, имеющий в своем распоряжении n различных IP-адресов, сможет зафиксировать факт атаки с математическим ожиданием, равным n*m/2^32.
Итак, ключевыми моментами, влияющими на объективность исследования, стали равномерность распределения адресов (атакующие, как правило, выбирают их случайным образом), надежность канала (трафик, посылаемый атакующим к объекту, доходит до пункта назначения, равно как и ответ от объекта доходит до системы, адрес которой был выбран злоумышленником в качестве обратного). Наибольшей сложностью явилось получение множества IP-адресов, равномерно распределенных в IPv4, но ученые утверждают, что использованная ими выборка удовлетворила критерию Андерсона-Дарлинга, что указывало на относительную чистоту эксперимента (это означает, что адреса, наблюдаемые учеными, были распределены почти равномерно, то есть так же, как и адреса, выбираемые в качестве обратных средствами атак).
Действительно, использованный метод отличается оригинальностью и объективностью и позволяет построить картину 'боевых действий' в пространстве IP-адресов при минимальных расходах на мониторинг. При сборе информации об атаках традиционными методами, как это делает, к примеру, сервис Attack Registry and Intelligence Service, объективность исследований вызывает большие сомнения, так как в данном случае принципиально невозможно получить равномерно распределенную выборку объектов атак — волей кибервандалов, в отличие от беспристрастного генератора случайных чисел, управляют вовсе не законы теории вероятности. Подводя итог, хочется сказать, что описанный метод анализа напоминает определение места падения камня в пруд по кругам на воде. Любое действие всегда рождало противодействие — пусть малозаметное, но все же неизбежное".
30.05.2001

Кибератаки японских веб-сайтов имеют политическую подоплеку
Согласно данным независимых экспертов из Everyday People, за первые 5 месяцев 2001 г. совершено уже около 650 нападений на веб-сайты, в отличие от всего 63 за весь прошлый год. Киберпротесты достигли своего пика в марте, когда официальный сайт Министерства Образования, Культуры, Спорта, Науки и Технологии был закрыт из-за потоков враждебно настроенного трафика из Южной Кореи. Камнем преткновения послужили планы правительства Японии изменить школьную программу. Протестующие уверяют, что новые школьные учебники обеляют сомнительные события времен Второй Мировой войны. Атаки оказались настолько существенными, что японское правительство было вынуждено официально обратиться к Южной Корее с просьбой принять меры против хакеров. Учебник же был принят, однако с некоторыми изменениями.
30.05.2001

Дыра в ПО привела к разглашению персональной информации пользователей сайта Health.org
На одной из страниц информационного веб-сайта Health.org, принадлежащего частному субподрядчику Министерства здравоохранения США, оказалась опубликована полная информация о пользователях, заказавших на сайте брошюры о борьбе с алкогольной и наркотической зависимостью. На странице, доступной для свободного просмотра, при этом оказалась полная информация о заказах и заказчиках — их имена, физические и электронные адреса и телефоны. Разглашению подверглась информация о заказах, сделанных с сентября 2000 по октябрь 2001 г. После того, как страница с информацией попала к журналистам MSNBC, они известили о случившемся администрацию сайта, и проблема была ликвидирована. Как сообщается, большинство клиентов Health.org составляли школы, больницы, различные некоммерческие организации, и число физических лиц, информация о которых могла попасть к злоумышленникам, очень невелико. Причиной разглашения информации стала хакерская атака, использовавшая известную дыру в торговом программном обеспечении компании PDG Software. Эта дыра была обнаружена еще в начале апреля, когда ввиду ее легкости в использовании и опасности ФБР даже выпустило специальное предупреждение. Всего продукты PDG Software использовали около 2000 клиентов. При этом Health.org обвиняет в случившемся PDG, которая якобы не прислала соответствующего предупреждения. А PDG, в свою очередь, настаивает на том, что дважды присылала Health.org сообщения, в которых говорилось о необходимости установки заплатки на программное обеспечение. Стоит отметить, что после случая с Health.org уже было зафиксировано еще несколько фактов применения дыры в ПО от PDG на небольших торговых сайтах.
30.05.2001

Глобальная система электронной слежки Echelon не так уж и глобальна
Комитет Европейского парламента, который в течение нескольких лет работал над тем, чтобы внести ясность в вопрос о секретной системе электронной слежки Echelon, пришел к выводу, что слухи о ее могущественности сильно преувеличены. Никаких конкретных сведений об Echelon не было и нет. Считается, что система была создана в семидесятые годы американским Национальным агентством безопасности, чтобы отслеживать передаваемую по телекоммуникационным системам информацию: телефонные звонки, факсы, электронные письма. Функционирование Echelon в строгой секретности обеспечивается Соединенными Штатами, Великобританией, Канадой, Австралией и Новой Зеландией.
В обширном докладе, черновик которого был опубликован в Интернете, комитет утверждает, что масштабы Echelon вовсе не столь велики, как принято считать. "Анализ показал, что система далеко не так всеобъемлюща, как предполагали некоторые средства массовой информации", — сказано в докладе.
Таинственность, окружающая Echelon, вызывала справедливые опасения у стран Западной Европы. Высказывались предположения, что, пользуясь системой слежки, США и другие страны, имеющие доступ к Echelon, могут воровать промышленные и коммерческие секреты европейских компаний или правительств. Комитет заявил, что никаких заслуживающих внимания доказательств, подтверждающих это, обнаружить не удалось.
По сведениям, полученным комитетом Европарламента, Echelon в значительной степени полагается на перехват данных, передаваемых через спутники или по радио. Однако, как известно, по меньшей мере не меньший трафик проходит через оптоволоконные и наземные линии связи, слежка в которых, по мнению комитета, не осуществляется. Кроме того, как правило, действительно важные сведения редко выходят за пределы компаний, а если и выходят — шифруются. В итоге, как заключает комитет, если Echelon и использовался для промышленного шпионажа, то только по случайности. Значительно проще и дешевле раздобыть нужные сведения через сотрудников компаний или внедрившись в их внутренние сети.
30.05.2001

Microsoft заделывает дыры в защите Windows Media Player
Вслед за публикацией на своем сайте заплаты для текстового редактора Word корпорация Microsoft выпустила заплату для двух дыр, обнаруженных в системе защиты программного плеера Windows Media Player. Эти дыры имеются в версиях Media Player 6.4 и 7. Как сообщается, из-за этих брешей доступ к компьютеру пользователя может получить злоумышленник, который сможет запускать на нем любые программы, читать, изменять и удалять любые файлы.
Первая дыра — более серьезная. Она является следствием того, каким способом ПО Windows Media Player работает с файлами формата .ASX (Active Stream Redirector), использующимися при поиске и воспроизведении потоковых мультимедиа-данных и при работе со списками воспроизводимых файлов. Из-за дыры в буфере памяти, который используется при работе с .ASX-файлами, хакер, пославший на компьютер жертвы определенный код, может получить все права для управления компьютером, в том числе, он сможет удалять файлы и запускать программы. Упомянутый вредоносный код можно вставить в отправленное пользователю по электронной почте сообщение HTML-формата или запустить на исполнение, когда пользователь посетит определенную Web-страницу. В первом случае пользователь должен открыть HTML-файл, чтобы открыть брешь, через которую проникнет хакер, а во втором — ему достаточно только посетить хакерскую Web-страницу.
Вторая дыра стала результатом организации работы программы Windows Media Player с ранее просмотренными Internet-ресурсами, которые содержатся в папке временных файлов Temporary Files. Правда, воспользовавшись этой дырой, злоумышленник сможет только просматривать файлы, но не изменять и не удалять их. При атаке на вторую дыру тоже используется HTML-код, но в данном случае он создает ссылку в папке временных файлов Temporary Files. Отправляется вредоносный код тоже по электронной почте. Здесь, правда, для хакера задача более сложная, так как ему нужно знать точное имя файла и его местонахождение.
В выпущенной Microsoft заплате заделывается также дыра, позволявшая получать о пользователе информацию, содержащуюся в его "профиле", правда, без имени самого пользователя. Эту заплату Microsoft рекомендует только пользователям версии Windows Media Player 6.4, а пользователям версии 7 рекомендуется обновить ее до версии 7.1.
30.05.2001

Третья "дыра" в ПО Microsoft за неделю — HyperTerminal
Корпорация Microsoft выпустила третье предупреждение об уязвимости своего программного обеспечения. На этот раз была обнаружена "дыра" в HyperTerminal Telnet клиенте — программе из стандартного набора Windows. Специально подобранный Telnet URL позволит атакующему запустить посторонний код на компьютере пользователя "благодаря" отсутствию проверки на длину буфера. Кроме URL, переполнение буфера вызывает специально созданный файл сессии. "Дыра" не зависит от версии Windows. Таким образом, можно атаковать все разновидности системы — 98, 98SE, ME, NT и 2000. Корпорация ничего не сказала о Windows 95, так как она в понимании Microsoft устарела. Предыдущие два предупреждения на прошлой неделе относились к уязвимости макросов в Word и уязвимости Windows Media Player. Hyperterminal создан для Microsoft компанией Hilgraeve.
31.05.2001

Страны СНГ будут вместе бороться с киберпреступностью
В ходе предстоящего 1 июня саммита в Минске, на котором соберутся все главы государств — участников СНГ, будет подписано соглашение о сотрудничестве в борьбе с преступлениями в сфере компьютерной информации. Проект документа о сотрудничестве в борьбе с преступлениями в сфере компьютерной информации предполагает обмен информацией о готовящихся или совершенных преступлениях в компьютерной сфере. В соглашении также идет речь о совместном проведении оперативно-розыскных мероприятий, создании специальных информационных систем и взаимодействии в подготовке кадров. Это соглашение, судя по всему, станет частью соглашения о создании Антитеррористического центра СНГ. Создание этого центра, в свою очередь, — основной вопрос в повестке дня минского саммита СНГ. Некоторые аспекты создания центра будут, возможно, обсуждаться уже в четверг — за день до саммита состоятся встречи премьер-министров стран СНГ и министров иностранных дел.
31.05.2001

Подготовил Евгений Сечко, safeman@mail.ru

(c) компьютерная газета





© компьютерная газета