Поле битвы


Мой командир говорил мне, что для того, чтобы защититься от врага, сначала нужно узнать, что он собой представляет: его методы нападения, приемы, тактику, цель. Эта военная доктрина верна не только в армии, но и в области обеспечения компьютерной безопасности. Сообщество хакеров - это противник, и мы должны уметь защищаться от него.
Когда мне впервые пришлось заняться вопросами обеспечения сетевой безопасности, я был поражен недостатком информации о сообществе хакеров. Технические сведения о взломах, сканерах и многих других средствах нападения можно было найти без труда. Но это лишь малая часть общей картины. Я хотел узнать больше: каковы цели нападающих; чего они хотят добиться; зачем; как они вычисляют уязвимые системы, а затем взламывают их; что происходит после того, как нападающий получает контроль над системой; как взломщики общаются друг с другом; имеем ли мы дело с одним или разнообразными видами угрозы и многое другое.
Многие из этих вопросов ставились в свое время и перед армией, однако там на них были ответы. Цель отдельных организаций, которые обычно назывались военной разведкой, заключалась в том, чтобы собирать и распространять информацию о враге. Чем больше мы знали о противнике, тем лучше могли обороняться. Будучи офицером танковых войск, я должен был досконально знать тактику и возможности советских бронетанковых войск, а также технический состав советской танковой дивизии. Мы изучали дальность стрельбы, скорость и характеристики танков, читали книги об истории и политическом устройстве нашего противника, проводили учения на захваченной технике. Такая информация необычайно важна для того, чтобы защититься от нападения. Зная дальность стрельбы танка, я могу предположить, когда враг может открыть огонь и, следовательно, когда я должен дать ответный залп. Зная скорость танков противника, я могу определить, сколько времени у меня есть на подготовку к артиллерийскому обстрелу. Зная технические характеристики вражеских танков - скорость стрельбы, я могу оценить, сколько раз в минуту выстрелит противник и какова вероятность поражения цели. После того как я сам побывал на захваченном Т-72, я лучше понял, какой областью обзора располагает его экипаж. Вся эта информация необычайно важна для защиты от противника. Чем больше информации, тем быстрее можно дать отпор и нанести ответный удар врагу.
Что меня удивило в области обеспечения сетевой безопасности, так это недостаток подобного рода разведданных. Я нашел крайне мало информации о том, кто мой враг, как он атакует, каковы его мотивы и тактические приемы. Специалисты, занимающиеся сетевой безопасностью, концентрируют внимание на определенных технических приемах взломщиков и на технических приемах, используемых при защите от взлома, но не на тактике и мотивах противника. Что я хотел узнать, так это то, как взломщики определяют и сканируют уязвимые системы. Что происходит после того, как система взломана? Какие неизвестные мне действия предпринимал взломщик? У меня было много вопросов, но крайне мало ответов, и это меня пугало. Моя работа заключалась в том, чтобы защититься от угрозы, от врага. Но я даже не знал, кто мой враг, за исключением его технических приемов. Я хотел узнать больше, но как этого добиться - вопрос оставался открытым.
На разработку решения ушло несколько лет. План очень прост: заставить врага обучить нас своим приемам, тактике и мотивам. Зачем выстраивать теории, когда можно заставить взломщиков показать, как они действуют. Ни один другой источник не будет более достоверным и более полным. В армии это иногда называется разведкой на поле боя, посредством которой вы получаете информацию от врага. В области обеспечения сетевой безопасности можно попробовать сделать то же самое. Пусть взломщики сами научат нас, как они действуют. Теперь вопрос заключается в том, как собрать данные с поля боя, когда неизвестно даже, где оно находится?
Для меня поле боя развернулось в 1998 году. В начале этого года я получил свой первый выделенный канал для подсоединения к сети Internet. Доступ к моей домашней сети был открыт любому в любой момент времени. Сначала я даже и не подозревал, что нужна мощная система обеспечения безопасности; я просто не осознавал, какая жестокая война имеет место в киберпространстве. К счастью, в то время я изучал системный журнал брандмауэра (сетевого экрана) и обнаружил, что большой объем подозрительного трафика сканирует мою сеть (исследует топологию сети). Я решил побольше узнать об этом трафике, поэтому изучил множество статей, посвященных Internet. Несмотря на огромный объем технической информации, вся она была посвящена конкретным случаям взлома или приемам, использованным при взломах. Относительно разведки о «плохих парнях» информации было мало. Я хотел узнать больше, но не представлял, как это сделать. Тогда я решил подключить к своей сети новую систему, организовать за ней тщательное наблюдение, а затем посмотреть, что произойдет. Я намеревался заставить взломщиков показать мне, как они работают при сканировании, нападении и взломе системы. Я использовал Linux Red Hat 5.0, вариант UNIX-подобной операционной системы, с параметрами, заданными по умолчанию, и подсоединил ее к беззащитной сети. Я совершенно не знал, чего ожидать. Найдет ли кто-нибудь вообще эту систему? Если да, то сколько времени это займет? Будет ли на нее совершено нападение, и что случится после того, как система окажется взломанной? Я надеялся получить ответы на все эти вопросы. 25 февраля 1999 года я подсоединил систему к своей сети. Через 15 минут она была обнаружена, просканирована и взломана.
Этот случай научил меня многому, главным образом тому, как создавать подобное окружение. После взлома системы нарушитель быстро обнаружил что-то неладное, стер данные с жесткого диска и больше никогда не возвращался. Я потерял практически всю ценную информацию, которую можно было бы анализировать: историю нажатых взломщиком клавиш, набор технических приемов и последовательность его действий в системе. Я узнал немного, но появилось подтверждение того, что в сеть можно поместить приманку. Если для этой цели использовать производственные системы, а затем проследить все происходящие в них действия и трафик, можно узнать о противнике гораздо больше.
С течением времени эта концепция переросла в проект Honeynet, участниками которого являются 30 профессионалов в области обеспечения безопасности. Его цель - изучить инструменты, тактику и мотивы взломщиков, а в дальнейшем распространить полученную информацию. Наша группа получает информацию путем создания производственных систем и тщательного наблюдения за всеми происходящими с ними событиями. Мы собираем и анализируем данные по мере того, как системы сканируются, подвергаются нападению и взламываются. Каждый участник проекта жертвует своим временем и использует свои знания для проведения исследований и развития проекта. От того, что наши знания и умения объединяются в рамках проекта, возможность изучения сообщества взломщиков резко возрастает. Затем мы делимся полученной информацией с теми, кто занимается обеспечением безопасности. Конечная цель заключается в том, чтобы лучше понять врага. Вооруженные этим знанием, мы можем лучше защититься от взломщиков. Наш проект уникален тем, что мы делимся информацией со всеми, кто обеспечивает безопасность, и хотим, чтобы от нашего исследования получилась определенная польза. Чем больше людей поймут, как действует враг, тем более защищенными станут системы.
В апреле 1999 года началась неформальная стадия проекта. Мне нужна была помощь при разработке методов отслеживания действий взломщиков. Атакованная в феврале система показала, что необходимо разработать более эффективные и сложные методы сбора данных. После того как они были собраны, мне понадобилась помощь для их анализа. Я просто не понимал значительную часть происходящих в системе событий, таких как расшифровка специфических действий, зафиксированных в сети, и попросил нескольких профессионалов о помощи. К счастью, среди них есть множество увлеченных и готовых прийти на помощь людей. Например, Марти Рош (Marty Roesch), разработчик Snort, добавивший новые функциональные возможности в IDS (Intrusion Detection System -система обнаружения вторжения) ради того, чтобы содействовать нашему проекту: в данном случае это касалось записи используемых взломщиками клавиш и бесед. Макс Вижн (Max Vision) предложил помочь со сложными атаками и расшифровал взломы, используя их сетевые сигнатуры. Без участия этих и других людей проект не смог бы работать.
Honeynet записывает всякого рода необычные действия, происходящие в сети. Ни один человек не может понять все происходящие здесь события. Наша маленькая группа продолжала увеличиваться по мере того, как мы понимали, что необходим опыт и знания многих специалистов. Каждый из нас обладал уникальными навыками, опытом и образованием, что очень помогало развитию проекта. Однако всеми нами двигали одно и то же желание - узнать как можно больше о взломщиках и поделиться полученными знаниями. Мы не были четко организованной группой; многие из нас никогда не встречались лично. Мы изредка обменивались информацией по электронной почте, стараясь улучшить концепцию Honeynet или расшифровать конкретную сигнатуру либо атаку.
Ситуация резко изменилась в июне 2000 года, когда honeypot, работающая на ОС Solaris 2.6, была взломана организованной группой хакеров, которые использовали ее для общения друг с другом. В течение трех недель мы записывали все их разговоры. Для того чтобы проследить эти действия, потребовались умения всей команды, начиная с расшифровки конкретных конфигураций IRC (Internet Relay Chat) и заканчивая переводом с урду на английский. Это событие способствовало сплочению нашего коллектива.
До этого момента мы никогда не считали себя организованной группой. Фактически название Honeynet Project было придумано в последнюю минуту, так как нам нужно было как-то именовать себя и наше исследование при обнародовании результатов. С тех пор в группу пришли многие специалисты, среди которых психолог Макс Килгер (Max Kilger), доктор философии, занимающийся изучением поведения взломщиков. Были также установлены связи с различными национальными и международными организациями. Мы продолжаем развивать свою технику и исследования и всегда делимся полученной информацией с теми, кто занимается обеспечением безопасности. Эта книга представляет собой еще один этап в процессе распространения собранных данных.
Основной инструмент, которым пользуется наша команда, называется Honeynet. Это сеть, созданная для того, чтобы ее взломали. С ее помощью можно узнать, что представляет собой противник и как он действует. Каждый вхоДящий и исходящий из Honeynet сетевой пакет записывается и анализируется. Каждое действие, происходящее в системах, записывается в системный журнал и защищается от взлома. Взломщики показывают нам шаг за шагом, как они действуют в реальном мире. После того как информация собрана, можно просмотреть данные и точно установить, кто является врагом, а также понять его цели, мотивы и методы действия.
Во всей этой работе мы стараемся пользоваться термином взломщик для определения нападающего врага. Мы предпочитаем не вмешиваться в политические дебаты относительно того, какими словами называть определенных пользователей. Для нас взломщик - это «плохой парень», враг. Он может быть мужчиной или женщиной, недовольным служащим компании, подростком из Юго-Восточной Азии или отлично образованным бывшим агентом КГБ. Во многих случаях вы не узнаете конкретного врага. Иногда нам удавалось установить личности, и везде, где возможно, мы указываем на это. Однако зачастую единственное слово, которым можно назвать противника, - взломщик. Тем не менее это индивид или организация, пытающаяся предпринять неавторизованные (когда у субъекта нет прав в конкретной системе) действия по отношению к одному из ваших ресурсов.
Основная тема этой книги - изучение противника, сообщества взломщиков. Здесь приводятся описания этих производственных систем; их ценность; способы создания, использования и поддержки; а также сопутствующие риски/существенные моменты. Мы попытались как можно меньше теоретизировать и сконцентрироваться на том, что нам удалось узнать. Конечная цель этой книги заключается в том, чтобы рассказать вам о:
• Honeynet (что такое Honeynet, ее ценность для обеспечения безопасности, принципы ее работы, а также сопутствующие риски/существенные моменты);
• анализе (как анализировать собранные данные и, исходя из этого, изучать приемы, тактику и мотивы взломщиков);
• враге (что мы узнали о сообществе взломщиков).
Надеемся, что, прочитав эту книгу, вы узнаете много нового и получите столько же удовольствия, сколько мы за последние несколько лет.