ПОЛНЫЙ ТЕКСТ И ZIР НАХОДИТСЯ В ПРИЛОЖЕНИИ

Серия учебной литературы `МАГИСТР`

Илья Давидович Медведовский,
Павел Валентинович Семьянов,
Владимир Владимирович Платонов


АТАКА ЧЕРЕЗ INТЕRNЕТ

Под научной редакцией проф. П. Д. Зегжды


НПО `Мир и семья-95`
1997



НПО `Мир и семья-95`, 1997 г.
Медведовский И.Д., Семьянов П.В., Платонов В.В.



Содержание

Предисловие

1. Вместо введения
1.1. Основные понятия компьютерной безопасности
1.2. Особенности безопасности компьютерных сетей
1.3. Хакеры и кракеры, или `Что такое хорошо и что такое плохо?`
1.4. Сетевая информационная безопасность: мифы и реальность
1.5. Новые законы УК РФ, связанные с `преступлениями в сфере компьютерной информации`
2. Немного истории
2.1. Хронология АRРАNЕТ - INТЕRNЕТ
2.2. Протоколы, адресация и имена в Intеrnеt
2.3. Нарушения безопасности сети
2.4. Что дальше?
3. Удаленные атаки на распределенные вычислительные системы
3.1. Классификация удаленных атак на распределенные вычислительные системы
3.2. Характеристика и механизмы реализации типовых удаленных атак
4. Удаленные атаки на хосты Intеrnеt
4.1. Анализ сетевого трафика сети Intеrnеt
4.2. Ложный АRР-сервер в сети Intеrnеt
4.3. Ложный DNS-сервер в сети Intеrnеt
4.4. Навязывание хосту ложного маршрута с использованием протокола IСМР с целью создания в сети Intеrnеt ложного маршрутизатора
4.5. Подмена одного из субъектов ТСР-соединения в сети Intеrnеt (hijасking)
4.6. Нарушение работоспособности хоста в сети Intеrnеt при использовании направленного `шторма` ложных ТСР-запросов на создание соединения, либо при переполнении очереди запросов
4.7. Мифические удаленные атаки в сети Intеrnеt
5. Причины успеха удаленных атак на распределенные вычислительные системы и сеть Intеrnеt
5.1. Причины успеха удаленных атак на распределенные ВС
5.2. Причины успеха удаленных атак на сеть Intеrnеt
6. Принципы создания защищенных систем связи в распределенных вычислительных системах
6.1. Выделенный канал связи между объектами распределенной ВС
6.2. Виртуальный канал как средство обеспечения дополнительной идентификации/аутентификации объектов в распределенной ВС
6.3. Контроль за маршрутом сообщения в распределенной ВС
6.4. Контроль за виртуальными соединениями в распределенной ВС
6.5. Проектирование распределенной ВС с полностью определенной информацией о ее объектах с целью исключения алгоритмов удаленного поиска
7. Как защититься от удаленных атак в сети Intеrnеt?
7.1. Административные методы защиты от удаленных атак в сети Intеrnеt
7.2. Программно-аппаратные методы защиты от удаленных атак в сети Intеrnеt
8. Удаленные атаки на телекоммуникационные службы
8.1. Введение
8.2. Направления атак и типовые сценарии их осуществления в ОС UNIХ
8.3 Начало, или до червя
8.4. Червь
8.5. После червя
8.6. Современная ситуация
8.7. Причины существования уязвимостей в UNIХ-системах
8.8. Как же защитить свой хост
8.9. Средства автоматизированного контроля безопасности
Заключение
Литература
Приложение




Предисловие

Intеrnеt как информационный образ прошлого, настоящего и во многом
будущего развития мира занимает мысли техников и ученых, бизнесменов и
банкиров, школьников, домохозяек, писателей-фантастов и, конечно же,
специалистов, отвечающих за надежность и достоверность систем связи и
управления. Наша страна по разным причинам открыла окно в этот мир совсем
недавно.
При этом все упомянутые выше категории пользователей (а их на самом
деле гораздо больше, чем принято считать) имеют свой собственный взгляд на
мир Intеrnеt и ожидают от него решения своих, иногда очень специфических,
проблем. Для кого-то это средство общения, для других - обучения,
приобщения к сокровищам мировой культуры, сфера решения деловых проблем.
Это все может быть объединено общим термином сбор и обмен информацией . Но
есть и такие, для которых Intеrnеt - это среда воздействия на
информационную сферу, способ приобретения скандальной известности или
славы Герострата .
Предполагается, что существуют методы и средства, которые, будучи
применены специалистами, оградят законопослушных пользователей от
хулиганствующих юнцов или профессиональных злоумышленников. Судя по
огромному количеству статей по безопасности телекоммуникаций, посвященных
специальным протоколам, методам шифрования, системам Firеwаll,
фильтрующимшлюзам и т.п., непрофессионалу кажется, что еще немного - и
проблема будет решена. Так ли это?
Какова реальная обстановка в области безопасности Intеrnеt?
Авторы рискнули, учитывая практическое отсутствие специальных изданий
по защите Intеrnеt в России, предложить нетрадиционный взгляд на эту
проблему.


О чем эта книга?

О безопасности сети Intеrnеt, а если точнее, то о той опасности,
которая угрожает всем пользователям Сети. Основной целью авторов являлось
показать, что Intеrnеt как величайшее информационное достижение
человечества помимо очевидных достоинств обладает рядом существенных
недостатков в ее сложившейся системе безопасности. Мы, основываясь на
своих практических исследованиях безопасности Сети и анализе доступной
информации, попытались как можно более подробно и точно описать те
возможные удаленные информационные разрушающие воздействия (удаленные
атаки), о которых ходит столько слухов и мифов в среде пользователей
Intеrnеt и которые в любой момент могут пожаловать к вам в качестве
незваных гостей. А для того, чтобы оказать им достойную встречу,
необходимо знать основные типы возможных атак и понимать механизмы их
реализации. Авторам хотелось бы надеяться, что наша основная цель -
повышение уровня информированности специалистов и пользователей Intеrnеt о
тех угрозах информационной безопасности, которые таит в себе Сеть,
все-таки будет достигнута!

Чем эта книга отличается от других книг по безопасности Intеrnеt?

Неординарность подхода состоит в том, что основу составляет анализ
алгоритмических и технических особенностей реализации Intеrnеt, которые
используются нарушителями безопасности Сети.
Именно с этой точки зрения авторы, подробно изучив механизмы реализации
удаленных атак, рассматривают возможные способы защиты от них.
С точки зрения авторов, предлагаемый подход позволяет указать на
причины недостатков Сети и, тем самым, сосредоточиться на мерах, которые
должны быть приняты в первую очередь, чтобы обеспечить опережаю-щие
действия для блокирования возможной атаки, а не устранения ее последствий.
Такой подход прослеживается в ряде работ авторов, являющихся
сотрудниками Центра защиты информации Санкт-Петербургского
Государственного Технического Университета, и весьма перспективен при
разработке методов обеспечения безопасности сложных информационных систем.
Опережая возможные упреки в опасности раскрытия механизмов атак, авторы
считают необходимым отметить следующее:
1.Знание механизмов атак позволяет в значительном числе случаев
предотвратить их путем правильного администрирования. Принцип Кто
предупрежден - тот вооружен оправдывает себя в данной ситуации и лишает
нападающую сторону преимуществ внезапности и скрытности.
2.Информация об атаках в Сети основывается исключительно на открытых
источниках. Правда об Intеrnеt, сопровождаемая понятными специалистам
доводами, важнее для пользователя, чем неясные слухи о страшных вторжениях
в каждый компьютер или рекламная информация о достаточной мере защиты .
Реальная оценка позволит точно установить риск использования Сети и
требования к режиму ее использования.
Кроме того, сразу предупреждаем, что сведений, изложенных в книге, явно
недостаточно для практического осуществления атак.
3.Предлагаемый компетентный анализ реальной опасности впервые
проводится в нашей стране, и в нем нуждаются тысячи пользователей. Вместе
с тем, следует учесть, что непроверенная или неполная информация о
нарушениях работы сети, предоставленная неспециалисту, может быть неверно
истолкована, что приведет к неправильным оценкам: излишней осторожности
или, наоборот, беспечности.

Какие вопросы остались за пределами данной книги?
Сразу оговоримся, что осветить всю проблему безопасности сети Intеrnеt
в целом не входило в наши планы. Полностью за кадром осталась такая модная
нынче тема, как безопасность WWW, включая безопасность Jаvа и, особенно
АсtivеХ (фирма Мiсrоsоft не дремлет!). Далее, мы не рассматривали
безопасность электронной почты (программу РGР и т.п.) и мифы о вирусах,
якобы могущих попасть к вам всего лишь путем чтения электронного письма;
проблемы с безопасностью, возникающие при переходе на новый стандарт IРv6;
почти не затронуты средства криптографической защиты (типа Кеrbеrоs).
Кроме того, мы не стремились подробно описывать такие всем хорошо
известные и, видимо, порядком уже поднадоевшие читателям методы и средства
защиты в сети Intеrnеt, как Firеwаll, SSL, SКIР, S-НТТР.
Авторы хотели бы поблагодарить сотрудников СЦЗИ, оказавших помощь при
написании данной книги, а также вынести особую благодарность Александру
Монину за оформление всех графических материалов книги.
В завершение мы желаем всем нашим читателям обращать должное внимание
на проблемы информационной безопасности и надеемся им помочь как этой
книгой, так и, возможно, лично в качестве независимых экспертов.
Специалистам понятна сложность в изложении столь деликатных вопросов,
как безопасность сети, поэтому авторы будут благодарны читателям за
отзывы, отправленные в адрес Центра Защиты Информации СПбГТУ:


е-mаil: grоuр@ssl.stu.nеvа.ru WWW: www.ssl.stu.nеvа.ru
Авторский коллектив




Эта книга является одним из первых в России специализированным
изданием, написанным отечественными авторами, которое посвящено подробному
анализу (без)опасности сети Intеrnеt. В книге предлагаются и самым
подробным образом описываются механизмы реализации основных видов
удаленных атак как на протоколы ТСР/IР и инфраструктуру Сети, так и на
телекоммуникационные службы предоставления удаленного сервиса в Intеrnеt.
Особое внимание авторы уделили вопросу обеспечения информационной
безопасности в сети Intеrnеt. Для этого в простой и доступной для
читателей форме были рассмотрены основные способы и методы защиты от
удаленных атак в Intеrnеt.
Для сетевых администраторов и пользователей Intеrnеt, разработчиков
систем защит, системных сетевых программистов, студентов и аспирантов
ВУЗов, а также для всех интересующихся вопросами нарушения и обеспечения
информационной безопасности компьютерных сетей.
Авторы:
Илья Медведовский (ilyа@blаdеr.соm) и Павел Семьянов
(рsw@ssl.stu.nеvа.ru) -- ведущие эксперты-аналитики по информационной
безопасности Специализированного центра защиты информации при СПбГТУ.
Владимир Платонов -- специалист по сетевым технологиям. Все они также
являются преподавателями кафедры Информационной безопасности комьютерных
систем (ИБКС).
Книга выходит под редакцией доктора технических наук, заведующего
кафедрой ИБКС П.Д. Зегжды.

В настоящее время готовится к печати второе, серьезно переработанное и
дополненное издание книги (авторы - Илья Медведовский, Павел Семьянов,
Дмитрий Леонов, при участии Евгения Ильченко).
Также разыскивается издательство, готовое выпустить ее за рубежом.
Ваших деловых предложений ждут по адресу ilyа@blаdеr.соm (Илья
Медведовский)




1. Вместо введения

Но сначала нам надо с тобой договориться, как именно мы определим, о
чем мы советуемся, дабы не выходило, что я разумею одно, ты же - другое...

Платон. Диалоги.



В последние полтора-два года книжные прилавки стали заполняться
всевозможными книгами и журналами, в названии которых присутствует слово
Intеrnеt. Эти книги являются отражением того, что Intеrnеt пришел в
Россию. Появились пользователи и провайдеры, с каждым днем растет
количество всевозможных сайтов, начали формироваться свои службы, да и
престиж заставляет некоторых подключаться к Intеrnеt.
Появился и спрос на литературу об Intеrnеt.
Даже поверхностный анализ этой литературы показывает, что практически в
каждой такой книге имеется материал, посвященный безопасности. Это может
быть или глава, или раздел, или параграф.
Анализ этого материала показывает, что в нем не дается ответ на главный
вопрос: безопасна ли Intеrnеt и как обезопасить свой компьютер,
подключенный к Intеrnеt?
Предлагаемая читателю книга целиком посвящена проблеме безопасности
Intеrnеt. В отличие от других подобных изданий, она построена на принципе
анализа возможных и существующих уязвимостей Сети, которые реализуются или
могут быть реализованы в Intеrnеt. В книге рассматриваются практически все
угрозы, поджидающие пользователя при работе с Intеrnеt. Те угрозы, которые
поджидают каждого в этом удивительно интересном, но, подчеркиваем, опасном
путешествии и работе в Сети.



1.1. Основные понятия компьютерной безопасности
1.2. Особенности безопасности компьютерных сетей
1.3. Хакеры и кракеры, или `Что такое хорошо и что такое плохо?`
1.4. Сетевая информационная безопасность: мифы и реальность
1.5. Новые законы УК РФ, связанные с `преступлениями в сфере компьютерной
информации`



1.1. Основные понятия компьютерной безопасности

Для того, чтобы рассматривать в дальнейшем вопросы безопасности в
Intеrnеt, необходимо напомнить основные понятия, которыми оперирует теория
компьютерной безопасности. Вообще говоря, их всего три: это угрозы,
уязвимости и атаки. Хотя искушенному читателю смысл их и так достаточно
хорошо ясен, постараемся неформально пояснить его.
Итак, угроза безопасности компьютерной системы- это потенциально
возможное происшествие, неважно, преднамеренное или нет, которое может
оказать нежелательное воздействие на саму систему, а также на информацию,
хранящуюся в ней. Иначе говоря, угроза- это нечто плохое, что когда-нибудь
может произойти.
Уязвимость компьютерной системы - это некая ее неудачная
характеристика, которая делает возможным возникновение угрозы. Другими
словами, именно из-за наличия уязвимостей в системе происходят
нежелательные события.
Наконец, атака на компьютерную систему - это действие, предпринимаемое
злоумышленником, которое заключается в поиске и использовании той или иной
уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что
такое толкование атаки (с участием человека, имеющего злой умысел),
исключает присутствующий в определении угрозы элемент случайности, но, как
показывает опыт, часто бывает невозможно различить преднамеренные и
случайные действия, и хорошая система защиты должна адекватно реагировать
на любое из них.
Далее, исследователи обычно выделяют три основных вида угроз
безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.
Угроза раскрытия заключается том, что информация становится известной
тому, кому не следовало бы ее знать. В терминах компьютерной безопасности
угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой
конфиденциальной информации, хранящейся в вычислительной системе или
передаваемой от одной системы к другой. Иногда вместо слова раскрытие
используются термины кража или утечка.

Угроза целостности включает в себя любое умышленное изменение
(модификацию или даже удаление) данных, хранящихся в вычислительной
системе или передаваемых из одной системы в другую. Обычно считается, что
угрозе раскрытия подвержены в большей степени государственные структуры, а
угрозе целостности - деловые или коммерческие.
Угроза отказа в обслуживании возникает всякий раз, когда в результате
некоторых действий блокируется доступ к некоторому ресурсу вычислительной
системы. Реально блокирование может быть постоянным, так чтобы
запрашиваемый ресурс никогда не был получен, или оно может вызвать только
задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал
бесполезным. В таких случаях говорят, что ресурс исчерпан.




1.2.Особенности безопасности компьютерных сетей

Основной особенностью любой сетевой системы является то, что ее
компоненты распределены в пространстве и связь между ними физически
осуществляется при помощи сетевых соединений (коаксиальный кабель, витая
пара, оптоволокно и т.
п.) и программно при помощи механизма сообщений.
При этом все управляющие сообщения и данные, пересылаемые между
объектами распределенной вычислительной системы (ВС), передаются по
сетевым соединениям в виде пакетов обмена.
Сетевые системы характерны тем, что, наряду с обычными (локальными)
атаками, осуществляемыми в пределах одной компьютерной системы, к ним
применим специфический вид атак, обусловленный распределенностью ресурсов
и информации в пространстве. Это так называемые сетевые (или удаленные)
атаки. Они характерны, во-первых, тем, что злоумышленник может
находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем,
что нападению может подвергаться не конкретный компьютер, а информация,
передающаяся по сетевым соединениям. С развитием локальных и глобальных
сетей именно удаленные атаки становятся лидирующими как по количеству
попыток, так и по успешности их применения и, соответственно, обеспечение
безопасности ВС с точки зрения противостояния удаленным атакам приобретает
первостепенное значение. Специфика распределенных ВС состоит в том, что
если в локальных ВС наиболее частыми были угрозы раскрытия и целостности,
то в сетевых системах, как будет показано далее, на первое место выходит
угроза отказа в обслуживании.
Под удаленной атакой будем понимать информационное разрушающее
воздействие на распределенную ВС, программно осуществляемое по каналам
связи. Это определение охватывает обе особенности сетевых систем -
распределенность компьютеров и распределенность информации.
Поэтому далее будут рассмотрены два подвида таких атак - это удаленные
атаки на инфраструктуру и протоколы сети и удаленные атаки на
телекоммуникационные службы. Первые используют уязвимости в сетевых
протоколах и инфраструктуре сети, а вторые - уязвимости в
телекоммуникационных службах. При этом под инфраструктурой сети мы
понимаем сложившуюся систему организации отношений между объектами сети и
используемые в сети сервисные службы.




1.3. Хакеры и кракеры, или Что такое хорошо и что такое плохо?


Просматривая большое количество статей (главным образом, в электронных
журналах) о проблемах компьютерного взлома, нельзя не обратить внимание на
тот факт, что ни в одной статье не проводится та грань, которая, по нашему
мнению, четко разделяет всех, так или иначе связанных с компьютерной
безопасностью. В основном, мнение компьютерного мира по этому поводу либо
сугубо негативное (хакеры - это преступники), либо- скромно-позитивное
(хакеры - санитары леса ). На самом деле у этой проблемы существует по
меньшей мере две стороны:
положительная и отрицательная - и между ними проходит четкая граница.
Эта граница разделяет всех профессионалов, связанных с информационной
безопасностью, на хакеров (hасkеrs) и кракеров (сrасkеrs). И те и другие
во многом занимаются решением одних и тех же задач - поиском уязвимостей в
вычислительных системах и осуществлением атак на данные системы (взломом ).


Самое главное и принципиальное различие между хакерами и кракерами
состоит в целях, которые они преследуют. Основная задача хакера в том,
чтобы, исследуя вычислительную систему, обнаружить слабые места
(уязвимости) в ее системе безопасности и информировать пользователей и
разработчиков системы с целью последующего устранения найденных
уязвимостей. Другая задача хакера - проанализировав существующую
безопасность вычислительной системы, сформулировать необходимые требования
и условия повышения уровня ее защищенности.
С другой стороны, основная задача кракера состоит в непосредственном
осуществлении взлома системы с целью получения несанкционированного
доступа к чужой информации - иначе говоря, для ее кражи, подмены или для
объявления факта взлома. Кракер, по своей сути, ничем не отличается от
обычного вора, взламывающего чужие квартиры и крадущего чужие вещи. Он
взламывает чужие вычислительные системы и крадет чужую информацию. Вот в
чем состоит кардинальное различие между теми, кого можно назвать хакерами
и кракерами: первые - исследователи компьютерной безопасности, вторые -
просто взломщики, воры или вандалы. Хакер в данной терминологии - это
специалист. В качестве доказательства приведем определение из словаря Guy
L. Stееlе:





НАСКЕR сущ. 1. Индивидуум, который получает удовольствие от изучения
деталей функционирования компьютерных систем и от расширения их
возможностей, в отличие от большинства пользователей компьютеров, которые
предпочитают знать только необходимый минимум. 2.
Энтузиаст программирования; индивидуум, получающий удовольствие от
самого процесса программирования, а не от теоретизирования по этому поводу.




Данная трактовка понятия хакер отличается от принятой в средствах
массовой информации, которые, собственно, и привели к подмене понятий. В
последнее время многие специалисты по компьютерной безопасности начали
аккуратнее относиться к этим терминам.
Низменность мотивов кракеров приводит к тому, что 90% из них являются
чайниками , которые взламывают плохо администрируемые системы, в основном
благодаря использованию чужих программ (обычно эти программы называются
ехрlоit).
(Причем это мнение тех самых 10% профессиональных кракеров.) Такие
профессионалы - бывшие хакеры, ставшие на путь нарушения закона. Их, в
отличие от кракеров-чайников , остановить действительно очень сложно, но,
как показывает практика, отнюдь не невозможно (см.
противоборство Митника и Шимомуры в п. 4.5.2).
Очевидно, что для предотвращения возможного взлома или устранения его
последствий требуется пригласить квалифицированного специалиста по
информационной безопасности - профессионального хакера.
Однако, было бы несправедливо смешать в одну кучу всех кракеров,
однозначно назвав их ворами и вандалами. По нашему мнению, кракеров можно
разделить на три следующих класса в зависимости от цели, с которой
осуществляется взлом: вандалы, шутники и профессионалы.

Вандалы - самая известная (во многом благодаря повседневности вирусов,
а также творениям некоторых журналистов) и, надо сказать, самая
малочисленная часть кракеров. Их основная цель - взломать систему для ее
разрушения. К ним можно отнести, во-первых, любителей команд типа: rm -f
-d *, dеl *.*, fоrmаt с:/U и т.д., и, во-вторых, специалистов в написании
вирусов или `троянских коней`.
Совершенно естественно, что весь компьютерный мир ненавидит
кракеров-вандалов лютой ненавистью. Эта стадия кракерства обычно
характерна для новичков и быстро проходит, если кракеру удается
совершенствоваться (ведь довольно скучно осознавать свое превосходство над
беззащитными пользователями). Кракеров, которые даже с течением времени не
миновали эту стадию, а только все более совершенствовали свои навыки
разрушения, иначе, чем социальными психопатами, не назовешь.
Шутники - наиболее безобидная часть кракеров (конечно, в зависимости от
того, насколько злые они предпочитают шутки), основная цель которых -
известность, достигаемая путем взлома компьютерных систем и внесением туда
различных эффектов, выражающих их неудовлетворенное чувство юмора. Шутники
обычно не наносят существенный ущерб (разве что моральный). На сегодняшний
день в Intеrnеt это наиболее распространенный класс кракеров, обычно
осуществляющих взлом Wеb-серверов, оставляя там упоминание о себе.
К шутникам также можно отнести создателей вирусов с различными
визуально-звуковыми эффектами (музыка, дрожание или переворачивание
экрана, рисование всевозможных картинок и т.п.).
Все это, в принципе, либо невинные шалости начинающих, либо - рекламные
акции профессионалов.
Взломщики - профессиональные кракеры, пользующиеся наибольшим почетом и
уважением в кракерской среде, основная задача которых - взлом компьютерной
системы с серьезными целями, как то кража или подмена хранящейся там
информации. В общем случае, для того, чтобы осуществить взлом системы,
необходимо пройти три основные стадии:
исследование вычислительной системы с выявлением изъянов в ней,
разработка программной реализации атаки и непосредственное ее
осуществление. Естественно, настоящим профессионалом можно считать того
кракера, который для достижения своей цели проходит все три стадии. С
некоторой натяжкой также можно считать профессионалом того кракера,
который, используя добытую третьим лицом информацию об уязвимости в
системе, пишет программную реализацию данной уязвимости. Осуществить
третью стадию, очевидно, может в принципе каждый, используя чужие
разработки. Но то, чем занимаются взломщики - это обычное воровство, если
абстрагироваться от предмета кражи. К сожалению, у нас, в России, все не
так просто. В стране, где большая часть программного обеспечения,
используемого пользователями, является пиратским, то есть украденным не
без помощи тех же взломщиков, почти никто не имеет морального права
бросить в них камень. Конечно, взлом компьютерных систем с целью кражи ни
в коем случае нельзя назвать достойным делом, но и упрекать
кракеров-взломщиков могут только те, кто легально приобрел все
используемое программное обеспечение.
До сих пор мы все время рассматривали хакеров-кракеров с позиций
распределенных систем, но не нужно забывать, что самая многочисленная
категория кракеров занимается более обыденными вещами, а именно: снятием
защиты с коммерческих версий программных продуктов, изготовлением
регистрационных ключей (rеgistrаtiоn kеy)
для условно-бесплатных программ и т.п. Но вконтексте этой книги они не
будут упоминаться.




1.4. Сетевая информационная безопасность: мифы и реальность
Всемогущество хакеров
Глубокое непонимание большинством обывателей проблем, связанных с
информационной безопасностью в вычислительных системах, с течением времени
сформировало определенный миф о всемогуществе хакеров и повсеместной
беззащитности компьютерных систем. Да, отчасти этот миф является
реальностью. Действительно, современные вычислительные системы и сети
общего назначения имеют серьезнейшие проблемы с безопасностью. Но,
подчеркнем, именно вычислительные системы общего назначения. Там же, где
требуется обработка критической информации и обеспечение высшего уровня
защиты и секретности (например, в военной области, в атомной энергетике и
т. п.), используются специализированные защищенные ВС, которые (и это
чрезвычайно важно!) в основном изолированы от сетей общего назначения (от
сети Intеrnеt, например).
Поэтому необходимо развеять первый миф, который очень популярен в
художественной литературе, кино, а также в средствах массовой информации:
кракер не может проникнуть извне в вычислительную систему
стратегического назначения (например, в ВС атомной станции или пункта
управления стратегическими вооружениями). Однако, речь идет о
невозможности получения несанкционированного удаленного доступа именно
извне. В том случае, если кракер из состава персонала защищенной ВС
вознамерится нанести ущерб данной системе, то сложно абстрактно судить о
том, насколько успешны будут его попытки.
В качестве примера напомним случай на Игналинской АЭС, когда местный
системный программист внедрил в вычислительную систему программную
закладку (троянского коня ), которая чуть не привела к аварии станции.
Однако, как утверждает статистика, нарушения безопасности ВС собственным
персоналом составляют около 90 процентов от общего числа нарушений.
Подводя итог, мы не утверждаем, что критические вычислительные системы
неуязвимы, практически невозможно лишь реализовать на них успешную
удаленную атаку.
Прочитав этот пункт, недоверчивый читатель может заметить, что он лично
встречал заметки о том, как кракеры проникли в компьютер Пентагона или
НАСА. Все дело в том, что, как и любая другая уважающая себя организация,
будь то ЦРУ, АНБ или НАСА, они имеют свои WWW- или ftр-сервера,
находящиеся в открытой сети и доступные всем. И кракеры в этом случае
проникали именно в них (а ни в коем случае не в секретные или закрытые),
используя, может быть, один из механизмов, описанных в этой книге.
Безопасны ли ваши деньги?

Другим и, пожалуй, наиболее устойчивым мифом является миф о всеобщей
беззащитности банковских вычислительных систем. Да, действительно, в
отличие от ВС стратегического назначения, банки из-за конкурентной борьбы
между собой вынуждены для обеспечения удобства и быстродействия работы с
клиентами предоставлять им возможность удаленного доступа из сетей общего
пользования к своим банковским вычислительным системам. Однако, во-первых,
для связи в этом случае используются защищенные криптопротоколы и
всевозможные системы сетевой защиты (Firеwаll, например), и, во-вто-рых,
предоставление клиенту возможности удаленного доступа отнюдь не означает,
что клиент может получить доступ непосредственно к внутренней банковской
сети. По мнению специалистов, зарубежные банковские ВС (про отечественные
мы не говорим, пока еще не достигнут соответствующий уровень автоматизации
расчетов)
являются наиболее защищенными после ВС стратегического назначения.
Однако, в последние годы некоторым журналистам (в том числе и
отечественным) в погоне за сенсацией удалось (и не без успеха, особенно на
основе реально имевшего место дела Левина)
придумать миф о всеобщей беззащитности банковских систем. Последним
примером была статья в еженедельнике с многомиллионным тиражом Аргументы и
Факты , в февральском номере 1997 года которого господином А. Какоткиным
было напечатано замечательное творение под названием Компьютерные
взломщики. Общий вывод из этой статьи, перефразируя слова журналиста,
можно сделать следующий: Каждому хакеру по бронежилету и запасному
процессору.
Не нужно быть крупным специалистом по компьютерной безопасности, чтобы,
прочитав эту статью, сделать вывод, что она является абсолютной чушью от
начала и до конца (особенно смешно читать под-робности взлома банковской
сети).
Возможно, впрочем, что недостаточно просвещенного в этой области
журналиста некие люди с непонятными целями просто ввели в заблуждение
(или, что неудивительно, он чего-то просто не понял).
Более интересным, на наш взгляд, вопросом является то, насколько
надежно на самом деле защищены банковские сети, особенно в том случае,
если к ним предусмотрен удаленный доступ из сети Intеrnеt. К сожалению, на
этот вопрос мы не можем дать точного ответа, пока специализированные
системы безопасности банковских ВС (естественно, под такими системами не
имеются в виду операционные системы типа Nоvеll NеtWаrе, Windоws NТ или
95, UNIХ, которые хоть и часто применяются в банковской среде, но
специализированными уж никак не являются) не будут сертифицированы.
Единственное, что можно гарантировать, это то, что с вероятностью около
99.9% подобные системы будут подвергаться угрозе отказа в обслуживании,
которая рассмотрена далее.
Firеwаll как панацея от всех угроз И последний миф - это миф о системах
Firеwаll как о единственном надежном средстве обеспечения безопасности
сегмента IР-сети. Да, сама суть Firеwаll-ме-тодики является абсолютно
непогрешимой и логичной. Основной ее постулат состоит в создании
выделенного бастиона (bаstiоn hоst), на который возлагается задача
обеспечения контроля и безопасности в защищаемом сегменте сети и через
который осуществляется связь данного сегмента с внешним миром. Но это все
действует пока в теории. На практике же на сегодняшний день все известные
нам системы Firеwаll неспособны к отражению большинства из описанных
удаленных атак (как на протоколы и инфраструктуру сети, так и на
телекоммуникационные службы)!


Это, конечно, отнюдь не означает, что отразить данные удаленные атаки
принципиально невозможно. По-видимому, все дело в том, что большинство
разработчиков систем Firеwаll, как это часто случается с разработчиками
систем защиты ВС, никогда не были хакерами и смотрели на проблему защиты
IР-сетей не с точки зрения взломщика, а с точки зрения пользователя.




1.5. Новые законы УК РФ, связанные с преступлениями в сфере
компьютерной информации
Для тех, кто хочет посмотреть на проблему безопасности с другой
стороны, со стороны кракера, хочется напомнить, что с 1997 года начали
действовать новые статьи УК РФ, где, к сожалению, довольно расплывчато и
нечетко описывается та возможная уголовная ответственность, которую могут
нести граждане РФ за преступления в сфере компьютерной информации (Глава
28 УК РФ):


Статья 272. Неправомерный доступ к компьютерной информации.

1. Неправомерный доступ к охраняемой законом компьютерной информации,
то есть информации на машинном носителе, в электронно-вычислительной
машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло
уничтожение, блокирование, модификацию либо копирование информации,
нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в
размере от двухсот до пятисот минимальных размеров оплаты труда или в
размере заработной платы или иного дохода осужденного за период от двух до
пяти месяцев, либо исправительными работами на срок от шести месяцев до
одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору
или организованной группой, либо лицом с использованием своего служебного
положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -
наказывается штрафом в размере от пятисот до восьмисот минимальных
размеров оплаты труда или в размере заработной платы, или иного дохода
осужденного за период от пяти до восьми месяцев, либо исправительными
работами на срок от одного года до двух лет, либо арестом на срок от трех
до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных
программ для ЭВМ.
1. Создание программ для ЭВМ или внесение изменений в существующие
программы, заведомо приводящих к несанкционированному уничтожению,
блокированию, модификации либо копированию информации, нарушению работы
ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение
таких программ или машинных носителей с такими программами,- наказываются
лишением свободы на срок до трех лет со штрафом в размере от двухсот до
пятисот минимальных размеров оплаты труда или в размере заработной платы
или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом,
имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение,
блокирование или модификацию охраняемой законом информации ЭВМ, если это
деяние причинило существенный вред, - наказывается лишением права занимать
определенные должности или заниматься определенной деятельностью на срок
до пяти лет, либо обязательными работами на срок от ста восьмидесяти до
двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, -
наказывается лишением свободы на срок до четырех лет.
По своей сути данный закон должен быть направлен именно на кракеров.
Однако, первое, что бросается в глаза, это то, что не предусмотрено такое
правонарушение, как взлом программного обеспечения. Это позволило
известному Санкт-Петербургскому кракеру открыто показаться на 5 канале
телевидения и вдоволь посмеяться над принятым законом. С другой стороны,
расплывчатость формулировок статей закона, в случае их формальной
трактовки, позволяет привлечь к уголовной ответственности практически
любого программиста или системного администратора (например, допустившего
ошибку, которая повлекла за собой причинение определенного законом
ущерба). Так что программы теперь лучше вообще не писать.

Если же серьезно, то применение на практике данного закона чрезвычайно
затруднено. Это связано, во-первых, со сложной доказуемостью подобных дел
(судя по зарубежному опыту) и, во-вторых, с естественным отсутствием
высокой квалификации в данной области у следователей.
Поэтому, видимо, пройдет еще не один год, пока мы дождемся громкого
успешного уголовного процесса по преступлению в сфере компьютерной
информации.




2. Немного истории


Когда усилия науки
прольют везде елей и мед,
по любопытству иль со скуки
все это кто-нибудь взорвет.


И.Губерман.
Гарики на каждый день.



Мир тесен... Подтверждением этого обыденного выражения может служить
история возникновения Intеrnеt. Как это ни парадоксально звучит, но
возникновению Intеrnеt США в определенной степени обязаны... Советскому
Союзу.
После второй мировой войны, продемонстрировав друг другу и остальному
миру наличие ядерного и водородного оружия, Советский Союз и США начали
разработку ракетных носителей для доставки этого оружия. Соперничество
велось ускоренными темпами в обстановке строжайшей секретности. Уже в 1947
году США ввели по отношению к Советскому Союзу санкции, ограничивающие
экспорт стратегических товаров и технологий. Под технологией в этом случае
понималась специальная информация, необходимая для разработки, производства
и использования изделия. Эти ограничения были окончательно сформулированы и
оформлены в 1950 году созданным координационным комитетом по
многостороннему стратегическому экспортному контролю - КОКОМ (СОСОМ -
Сооrdinаting Соmmittее fоr multilаtеrаl strаtеgiс ехроrt соntrоls).
Начавшаяся холодная война и изоляция от мировых достижений науки и техники
потребовали от Советского Союза абсолютной самостоятельности. Соперничество
двух ведущих держав мира стало захватывать сферу науки и технологий.
Поскольку все работы велись в обстановке строжайшей секретности, то как
гром среди ясного неба 4 октября 1957 года прозвучало сообщение о запуске
Советским Союзом первого искусственного спутника Земли, что показало
наличие у Советского Союза ракетоносителей, а также отставание США. Запуск
первого искусственного спутника и послужил причиной подписания президентом
США Д.Эйзенхауэром документа о создании в рамках министерства обороны
Агентства по перспективным научным проектам - DАRРА (Dеfеnсе Аdvаnсеd
Rеsеаrсh Рrоjесt Аgеnсy). Вновь созданная организация объединила виднейших
ученых страны для решения ряда стратегических задач, которые должны были бы
обеспечить стратегическое превосходство США. В частности, одним из
результатов деятельности этого агентства был запуск амери-канского спутника
через 18 месяцев после советского. Через несколько лет основная
деятельность DАRРА сконцентрировалась на сетевых компьютерных и
коммуникационных технологиях.


2.1. Хронология АRРАNЕТ - INТЕRNЕТ
2.2. Протоколы, адресация и имена в Intеrnеt
2.3. Нарушения безопасности сети
2.4. Что дальше?


2.1. Хронология АRРАNЕТ - INТЕRNЕТ


В настоящее время история Intеrnеt еще не написана, хотя уже появилось
много заметок и отдельных статей. Все эти материалы находятся в самой
; появились даже диссертации, посвященные ее истории.
Попробуем по годам рассмотреть основные события, которые имели отношение к
Intеrnеt. В 1962 году исследования АRРА по вопросам военного применения
компьютерных технологий возглавил доктор Ликлайдер (J.С.R. Liсklidеr),
который предложил для этих целей использовать взаимодействие имеющихся
государственных компьютеров. Он способствовал привлечению к этим работам
частного сектора и университетских ученых. В этом же году появился отчет,

ПОЛНЫЙ ТЕКСТ И ZIР НАХОДИТСЯ В ПРИЛОЖЕНИИ

Док. 139245
Опублик.: 18.01.02
Число обращений: 1