Засоби і методологія Script Kiddie
Мій командир вчив мене, що якщо я хочу захиститися від ворога, спочатку мені необхідно дізнатися, що він із себе представляє. Ця військова доктрина в рівній мірі може бути застосована і до світу мережевої безпеки. Так само як військові, Ви намагаєтеся організувати захист деяких ресурсів. Щоб успішно впоратися з цим завданням, Ви повинні точно знати, хто Вам загрожує і як він збирається нападати. У цій статті, першою з даної серії, як раз і обговорюються засоби і методологія одного з найпоширеніших джерел загроз - Script Kiddie. Якщо Ви або Ваша організація маєте будь-які ресурси, пов'язані з Internet, ця загроза стосується Вас безпосередньо.
Хто такі Script Kiddie
Script kiddie - шукачі легкої здобичі. Вони не намагаються отримати доступ до якоїсь певної інформації або здійснити атаку на конкретну компанію. Їх мета полягає в тому, щоб отримати права root найпростішим з можливих способів. Вони досягають цього, вибираючи невелике число вразливостей і скануючи потім Internet в їх пошуках. Рано чи пізно вони знаходять вразливу систему.
Деякі з них - просунуті користувачі, які розробляють свої власні інструментальні засоби і залишають досить хитромудрі лазівки. Інші поняття не мають, що вони роблять і знають тільки, як надрукувати "go" в командному рядку. Незалежно від рівня розвитку, всі вони використовують одну стратегію: знайти систему з конкретною вразливістю і скористатися цією вразливістю для проникнення.
Саме випадковість вибору мети робить script kiddie такої небезпечної загрозою. Рано чи пізно Ваші системи і мережі будуть досліджені. Ви не можете уникнути цього. Я знаю адміністраторів, які були дуже здивовані фактом сканування їх систем, про які ніхто ще не знав, тому що вони були виставлені в Internet всього два дні тому. Нічого дивного тут немає. Найбільш ймовірно, їх системи були просканувати script kiddie, які як раз "обнюхували" цю ділянку мережі.
Якби справа обмежувалася кількома окремими фактами сканування - закони теорії ймовірності були б на вашому боці. Вашу систему, швидше за все не знайшли б серед мільйонів інших систем в Internet. Однак, справа йде зовсім не так. Більшість коштів сканування легко у використанні і широко поширене, їх може використовувати практично будь-хто. Число людей, що використовують ці кошти, зростає із загрозливою швидкістю. Оскільки Internet не знає географічних кордонів, ця загроза швидко поширилася в усьому світі і закон великих чисел раптово повернувся проти нас. З такою величезною кількістю користувачів Internet, які використовують ці кошти, факт сканування більше не ставиться під сумнів, питання лише в тому, коли дійде черга і до Вашої системи.
Все це показовий приклад, до чого може привести забезпечення безпеки шляхом ігнорування загрози (security through obscurity). Ви можете глибоко вірити, що ніхто просто не знає про існування Ваших систем. Інші вважають, що їх системи не містять нічого цікавого, з чого б комусь сканувати їх? Але script kiddie шукають мета за іншим принципом - їм потрібна незахищена система, яка стане легкою здобиччю.
Методологія
Ви можете заперечити, що всі ці сканування занадто "шумні" і привертають до себе увагу. Однак багато адміністраторів не здійснюють моніторинг своїх систем і навіть не припускають, що їх сканують. Крім того, багато script kiddie знаходять вразливу систему, яку використовують потім як плацдарм для подальших дій. Тепер вони можуть сканувати хоч весь Internet цілком, не побоюючись відплати. Якщо їх дії виявляються, то всі претензії пред'являються системному адміністратору використаної системи, а не чорному капелюсі.
Більш просунуті чорні капелюхи залишають троянські програми і чорні входу після проникнення в систему, що дозволяє швидко і непомітно проникнути в систему при необхідності. Троянські програми дозволяють порушнику залишитися необнаружіваемий. Його присутність не відбивається в системних файлах реєстрації, списку запущених процесів і в файлової системі. Він створює собі зручне і безпечне притулок, звідки можна відкрито сканувати Internet. Для отримання додаткової інформації див. Статтю "Вони отримують права root".
Всі ці дії не обмежені певним часом доби. Багато адміністратори перевіряють тільки нічні записи системних журналів на предмет слідів атак, вважаючи, що вони можуть відбуватися тільки в цей час. Script kiddie діють в будь-який час. Оскільки вони сканують 24 години на добу, в загальному випадку Ви не можете знати, коли саме це станеться. Крім того, ці атаки можуть виходити з будь-якої точки земної кулі. Так як Internet не знає географічних кордонів, поняття часу доби вельми розмито. Там, де знаходиться чорний капелюх, може бути глибока ніч, а у Вас - середина дня.
Описана методологія пошуку вразливих систем може бути використана в різних цілях. Нещодавно з'явилися нові види атак типу "відмова в обслуговуванні" (Denial of Service - DoS), так звані DDoS (Distributed Denial of Service attacks - розподілені атаки відмови в обслуговуванні). Ці атаки здійснюються одним користувачем, який контролює сотні, якщо не тисячі, скомпрометованих систем по всьому світу, які дистанційно координуються для проведення DDoS-атаки на жертву або групу жертв. Оскільки задіяна велика кількість систем, надзвичайно важко протистояти таким атакам і ідентифікувати їх джерело. Для отримання контролю над такою великою кількістю систем також використовується тактика script kiddie. Уразливі системи вибираються випадковим чином і використовуються в подальшому в якості стартових майданчиків для DDoS-атак. Чим більше систем взято під контроль, тим більш потужну DDoS-атаку можна провести. Одним із прикладів такої атаки є "stacheldraht". Більш детально дізнатися про розподілених атаках відмови в обслуговуванні і захисту від них можна на сайті Пола Фергюсона (Paul Ferguson) Denialinfo
інструментальні засоби
Як захиститися від цієї загрози
Наведені нижче поради допоможуть Вам захиститися від цієї загрози. Для початку, пам'ятайте, що script kiddie шукають легку здобич шляхом використання відомих вразливостей. Перевірки, що в Ваших системах і мережах немає цих вразливостей. Відмінними джерелами інформації на цю тему є www.cert.org і www.ciac.org. Також дуже хорошим джерелом є список розсилки bugtraq (архіви знаходяться на securityfocus.com). Інший спосіб захистити себе - запускати в системі тільки дійсно необхідні сервіси. Якщо у вас немає необхідності конкретний сервіс - не запускайте його. Якщо необхідність в ньому є, переконайтеся, що використовується програмне забезпечення останньої версії. Приклади безпечної настройки систем наведені в роботах "Armoring Solaris". "Armoring Linux" і "Armoring NT".
висновок
Script kiddie становлять загрозу для всіх систем. У них немає ніяких переваг, вони сканують всі системи підряд, незалежно від місця розташування і значимості. Рано чи пізно і Ваша система буде обстежена. Зрозумівши їх мотиви і методи, Ви зможете краще захистити Ваші системи від цієї загрози.