БЕЗОПАСНОСТЬ
Третья неделя февраля оказалась щедра на события, связанные с информационной безопасностью. Начиная со вторника стали появляться сообщения, озаглавленные: “Это война”, “Зомби-сети наступают”, и с еще более леденящими душу названиями. Все крупные информационные агентства сообщили о том, что целый ряд грандов электронного бизнеса с понедельника по среду подвергся неизвестному виду информационной атаки. Среди них Yahoo!, eBay, Amazon, CNN, Buy.com, ZDNet (не исключено, что атаки повторятся, и к моменту выхода нашего еженедельника статистика будет много печальнее). В результате агрессии на несколько часов была парализована деятельность всех пострадавших, они не могли обслуживать клиентов из-за того, что входной поток сообщений намного превысил потенциальные возможности сайтов.
Новая атака относится к категории пока еще малораспространенных, так называемых “распределенных атак, подавляющих обслуживание” (distributed denial-of-service attack, DDOS). По оценкам владельцев компаний, подвергшихся нападению, сбои в работе обошлись каждой их них в сумму, измеряемую сотнями тысяч долларов. Хронология первых трех дней атаки приведена на рисунке, подготовленном компанией Keynote Systems, специализирующейся на мониторинге и оценке производительности в Интернете.
Хронология атаки
Официальные органы США проявили весьма серьезное отношение к инциденту, генеральный прокурор и представители ФБР расценили события понедельника - среды как угрожающие и тут же пообещали предпринять все меры, на которые способны государственные органы охраны общественной безопасности. Бог им в помощь, не исключено, что они поймают очередного “митника”, посадят в исправдом, а потом рано или поздно отпустят, но явление останется, с ним придется жить и познавать его закономерности.
Да простят мне определенную иронию, но в освещении текущих событий наблюдается заметный элемент истерии. Раздувание сенсаций и демонстрация решимости перед лицом не слишком грозного противника настолько вошла в моду в некоторых частях земного шара, что вызывает аллергическую реакцию.
К освещению в масс-медиа новой атаки, возможно, стоило отнестись с большей серьезностью, если бы появление этих ужастиков, которые выводят из строя коммерческие сайты, было бы действительно неожиданным. Нет, для специалистов никакой неожиданностью эта новоявленная атака не стала. Об опасности DDOS вслух заговорили поздней осенью 1999 г. Чтобы убедиться в этом, достаточно заглянуть на сайт Национального центра по защите инфраструктур NIPC (www.nipc.gov). Здесь содержится меморандум Министерства юстиции США и ФБР, предупреждающий об опасности DDOS. Еще раньше, в ноябре, в Питсбурге состоялся семинар, посвященный новым средствам информационной агрессии, который назывался “Distributed-Systems Intruder Tools”. Итоговый документ можно найти по адресу: www.cert.org/reports/dsit_workshop.pdf.
Участники семинара, а это примерно 30 ученых из нескольких университетов, представителей коммерческих фирм, специализирующихся на информационной безопасности, и военных организаций, собрались в Координационном центре CERT (университет Карнеги - Мелона). В течение нескольких дней они обсуждали проблему, а затем 7 декабря опубликовали свой коллективный труд. Таким образом, ровно за два месяца до знаменательных событий информационная общественность была оповещена о грядущей опасности. Примечательно, что во Введении к упомянутому выше документу участники семинара выражают надежду, что их труд окажется полезным. Как говорится, сон в руку.
Что такое DDOS и как с ним бороться?
От других атак DDOS отличается тем, что инициатор (Distributed Intruder, DI) нападения мобилизует для своих нужд доступные ему сетевые ресурсы. DI не использует свой компьютер в качестве непосредственного оружия нападения, он вовлекает в агрессию десятки тысяч ничего не подозревающих систем, они становятся чем-то вроде деревянных солдат Урфина Джюса из известной детской книжки, слепо действующих по воле DI. Важно, что при этом соблюдается полная конспирация, ни один из подчиненных компьютеров ничего не знает об организаторе, не имеет полного списка участвующих в атаке систем.
Упрощенно схему организации нападения можно представить в виде иерархической трехуровневой модели, нацеленной на жертву (она очень похожа на реальную боевую структуру). На верхнем уровне находится сам Урфин Джюс (intruder), на следующем - капралы (master) и на нижнем - дуболомы (daemon), идущие в атаку. В качестве своего оружия дуболомы используют пустые коммуникационные пакеты, называемые пингами (ping), ими они забивают информационные подходы к атакуемому сайту - жертве .
И капралов, и дуболомов Урфин Джюс создает на компьютерах, которые “доступны для публичного использования”, применяя для этого инструментальные средства, называемые Distributed-Systems Intruder Tools. Атака готовится им, как войсковая операция. Вначале избираются компьютеры на роль капралов, они “вербуют” дуболомов, перекачивая на них соответствующее программное обеспечение. В процессе подготовки выполняются небольшие тестовые атаки, так называемые “бета”. Когда все готово, приводится в действие пусковой механизм и начинается реальная атака или серия атак, свидетелями которой мы все стали.
Стоит обратить внимание на название семинара, оно явно говорит о существовании инструментальных средств для проведения DDOS. Сегодня известны два таких средства, это Trinoo (иногда это название, переводимое как триада, пишется с двумя нулями - trin00) и Tribe Flood Network (tfn и tfn2k). Оба инструмента используют уязвимость процедур Sun RPC (Remote Procedure Call).
В целом от того, что удалось узнать, складывается довольно странное и противоречивое впечатление. С одной стороны, говорится, что подобную атаку может организовать даже пятнадцатилетний подросток, имеющий рабочую станцию под Linux, если ему в руки попадет соответствующий инструмент, но с другой, создание инструмента признается высокопрофессиональным делом. Хотя об этих инструментах довольно много известно, в то же время их авторство приписывают какому-то мифическому сообществу intruder community. Не могу избавиться от ощущения, что произошедшее есть не что иное, как учебно-профилактическое мероприятие.
Появление DDOS радикально меняет отношение к обеспечению безопасности, эта задача перестает быть частным делом каждого, поскольку практически любая система может быть использована злоумышленником. В изменившихся условиях администратор обязан контролировать состояние своей системы, предупреждая возможность неумышленного соучастия в чужом преступлении. Теперь недостаточно воздвигать бастионы, защищая собственную систему, нужно обезопасить себя от того, что в практике страхования называют социальным ущербом.
Для осуществления этой деятельности разработаны общие методические рекомендации, опубликованные на сайте CERT (www.cert.org), и специальные тестирующие программы, которые можно загрузить с сайта NIPC (www.nips.org).