Статья только в электронной версии журнала
АНАТОМИЯ ВЗЛОМА
Генри Балтазар (eWeek Labs)
На третьей неделе проекта Openhack в борьбу за призы вступил уже известный нашим читателям JFS (Луис Мора), победитель прошлогоднего состязания хакеров Hackpcweek. На этот раз ему удалось взломать наше “витринное” приложение MiniVend, разработанное фирмой Akopia.
JFS, житель испанского города Сан-Себастьяна, пояснил нам, что для подмены одного из шаблонов MiniVend он воспользовался тем же приемом, что и Александр Лазич, первым проникший внутрь нашего сервера электронной коммерции, однако сделал это по-другому, так как прежняя брешь была уже закрыта. eWeek Labs не может однозначно сказать, была ли скомпрометирована учетная запись root, так как сканирование с помощью программы проверки целостности системы Tripwire одноименной фирмы ничего не показало. Да и сам JFS не стал афишировать брешь, через которую проник на сервер, так как собирается использовать ее для атаки на свою конечную цель - базу данных. Тем не менее мы вместе со специалистами Akopia твердо намерены найти и закрыть новые лазейки. С этой целью уже начат анализ журнала регистрации URL Web-сервера Apache и исходного текста MiniVend.
Записи же во внешнем журнале IDS (с ними можно ознакомиться по адресу www.openhack.com/idreports.html) показали, что по большей части хакеры используют для атак пакеты SYN и нелегальное изменение флагов ТСР. Отмечено много атак прикладного уровня, нацеленных на службы, которые мы даже не запускали, в том числе Telnet, службу port mapper и протокол РОР 3. В общей сложности мы ежедневно отмечаем 1000-2000 попыток проникновения на наш узел.
Сеть DMZ чаще всего подвергается атакам со стороны интерфейса прикладного программирования CGI (Common Gateway Interface - общий шлюзовой интерфейс), с его помощью хакеры пытаются проникнуть в сервер MiniVend.
Однако внутренние IP-адреса в брандмауэрном кластере Openhack превращаются во внешние, для чего используется технология NAT (Network Address Translation - преобразование сетевых адресов). Этот широко распространенный прием помогает надежно скрыть IP-адреса защищаемых серверов.
Чтобы идентифицировать хакеров, нападающих на сеть DMZ, нам достаточно сопоставить временные метки попыток взлома, которые регистрируются в журнальном файле DMZ, с записями атак в нашем внешнем журнале регистрации таких событий (и там и там обязательно отмечается время атаки). Есть и другой способ: можно воспользоваться наружной системой обнаружения попыток вторжения.
С техническим аналитиком Генри Балтазаром можно связаться через Интернет по адресу: henry_baltazar@ziffdavis.com.
