Įsilaužėlių persekiojimas
Sal Ricciardi
Ar jūsų sistema saugi, kai esate prisijungę prie “Interneto”?
Skaitytojai dažnai klausia, ar jų duomenys kompiuteryje yra saugūs, kai jie naršo “Internete”. Norėčiau atsakyti – dažniausiai taip, nėra reikalo jaudintis, tačiau negaliu. Tiesa tokia: prisijungę prie voratinklio atsiduriame didžiausiame dvipusio eismo tinkle pasaulyje. Jei nesate savisaugos stropuolis, tai jūsų kompiuteris gali būti pažeidžiamas. Jis jau anksčiau galėjo būti pavojuje, galbūt silpnų vietų bandoma ieškoti net dabar, kai skaitote šį straipsnį.
Yra nemaža būdų, kaip kokiam nors piktavaliui patekti į jūsų sistemą. Pavyzdžiui, gerai žinoma, kad programinis kodas, kurį atsisiunčiate iš “Interneto” naršymo metu, gali sudarkyti jūsų sistemą, jei tik jį paleisite. Jūsų reikalas, pasitikėti ar ne parsisiunčiamomis programomis. Naujausios naršyklės turi galimybių, kuriomis pasinaudoję galite nuspręsti, priimti ar atmesti tam tikrus parsisiuntimui skirto programinio kodo tipus – pasirinktinai arba automatiškai. Atsižvelgiant į tai, kad parsisiunčiamos programėlės vis tobulėja ir suteikia tikrai naudingų funkcijų, pasirinkdami patį saugiausią variantą pernelyg suvaržysite save. Apsispręsti, kuo galima pasitikėti, o kuo ne, gali padėti skaitmeniniai parašai, tačiau ir čia lieka tam tikros rizikos.
Šiuolaikinių tinklo nusikaltėlių veikla yra dar labiau užmaskuota. Šiuo atveju bandymas įsilaužti į jūsų sistemą pasireiškia dvejopai. Pirmiausia nusikaltėlis gali pasinaudoti galimybe, kurią suteikia įjungta bendro failų ir spausdintuvo naudojimo (File and Print Sharing) “Interneto” ryšio metu opcija, nustatoma “Control Panel” sekcijoje “Network”. Šį parametrą galima būtų palyginti su buto durų atlapojimu ir turimo turto išdėliojimu prieškambaryje. Žinoma, galima juo naudotis, slaptažodžiu apsaugojus savo bendro naudojimo katalogus, tačiau tai būtų panašu į greičio apribojimą automagistralėje. Nusikaltėliai kol kas bus pristabdyti, tačiau tik laiko klausimas, kada jie jus pagaus.
Antrasis būdas, kaip gali būti sužlugdytas jūsų saugumas – nepastebimų programų, vadinamųjų “Trojos arklių” (pvz., “Back Orifice” ar “Netbus”), naudojimas. Jos patenka į jūsų kompiuterį kaip el. pašto priedai ar pasivadinusios kokia nors naudinga programėle, kurią nusprendžiate parsisiųsti. Paleistos programos įsitvirtina sistemoje ir laukia. Kai įsibrovėlis iš savo kompiuterio prisijungia prie jūsų AK “užpakalinių durų”, jis dažniausiai turi visas teises jūsų sistemoje.
Šie įsiveržimai dažniausiai įvyksta iš pažiūros visiškai nekaltai – bent jau taip atrodo aukai. Tiesą sakant, bendro failų ir spausdintuvo naudojimo “Interneto” ryšio metu uždraudimas yra gana keblus dalykas paprastam vartotojui. Naujausios “Microsoft” operacinių sistemų versijos automatiškai pastebi šią saugumo spragą ir mandagiai pasiklausia, ar nenorėtumėte šios galimybės uždrausti. Tai teigiamas poslinkis, tačiau vis dar įsivaizduoju kompiuterių naujoką klausiant – “Ką ten daryti su tais bendrais failais ar spausdintuvais?”. Jo pasirinkimas kažin ar labai skirsis nuo monetos metimo.
Nepastebimos “užpakalinių durų” programos ypač mėgsta tuos, kurie el. pašto priede “Paleisk.exe” tikisi rasti ką nors naudinga. Kartais tai net gali būti pusbrolio laiškas, pavadintas “Pasižiūrėk”. Tik vėliau pastebėsi, kad žinutė baigiama žodžiais “…ir pranešk, kas čia yra”. Net šis priedas galėjo būti pasiųstas tų, kurie žino, kas ir kaip. “Internete” kiekvienas yra įtartinas.
Taigi kaip apsaugoti savo sistemą? Iš pradžių išjunkite bendrą failų ir spausdintuvo naudojimą. Dažnai naudokite mėgstamiausią antivirusinę programinę įrangą, kuri turi būti nuolatos atnaujinama. Nustatykite naršyklę taip, kad ji parsisiuntinėtų tik pasirašytą informaciją, tikrinkite skaitmeninį kiekvieno ir kiekvienos parašą. Niekada nepaleidinėkite el. pašto priedų prieš tai nepatikrinę jų antivirusine programa. Net ir tada paleiskite juos tik su sąlyga, kad žinote siuntėją ir laukiate siuntinio. Praktiškai nepasitikėkite jokia gauta programine įranga – nesvarbu, ar tai el. pašto priedai, ar atsisiųsta programa. Tapkite labai labai atsargūs.
Išjungti bendrą failų ir spausdintuvo naudojimą ypač svarbu, kol esate “Internete”. Jei naudojate kabelinį modemą, praleisdami šį parametrą savo kompiuterį padarote visiems matomą – tereikia tik spustelėti “Network Neighborhood” piktogramą. Net ir maloniausiam jūsų kaimynui gali pasirodyti įdomu pašniukštinėti.
Kai jūsų kompiuterio prievadas (port) būna atviras visoms “Interneto” platybėms, gali kilti natūralus noras sekti beveik kiekvieną bitą, kuris priešinasi tam atvirumui. Galų gale kaip dar galite nustatyti, kad kas nors bando įsibrauti į jūsų sistemą? Štai čia pravers įsilaužimų aptikimo, identifikavimo ir apsaugos nuo jų programinė įranga. Pavyzdžiui, aš pradėjau naudoti naują dėmesio vertą produktą “BlackICE Defender” (39,95 JAV dol., www.networkice.com). Programa seka ir informuoja jus apie bandymus įsibrauti į sistemą. Ji aiškiai parodys, kas gali nutikti ryšio su “Internetu” metu – ir, be kita ko, šitaip ji supažindino mane su hakeriu, pasivadinusiu “Killer”.
“BlackICE” gali būti laikoma asmenine įsilaužimų pastebėjimo, identifikavimo ir atsakomųjų veiksmų sistema. Ji stebi visus “Interneto” protokolo perdavimus į ir iš asmeninio kompiuterio bei gali blokuoti piktavališkus įsilaužimus. Programa taip pat renka informaciją apie tokius bandymus. Priešingai ne kitos tokios paskirties programos, “BlackICE” nereikalauja žinoti sudėtingų taisyklių, ką daryti vienu ar kitu atveju, išmanymo apie TCP/IP prievadus ar paketų tipus. Kurdami šią programą “Network ICE” ekspertai pasitelkė informaciją apie daugiau nei 200 įsilaužimo būdų, įskaitant ir pačius naujausius. Vienintelis dalykas, kurį turite padaryti patys – nuspręsti, kokio apsaugos lygio pageidaujate, o programa padarys visa kita.
Aš naudojau “BlackICE” keletą savaičių kompiuteryje su paprastu komutuojamojo ryšio V.90 modemu. Per tą laiką “BlackICE” aptiko daug bandymų įsilaužti į kompiuterį. Beveik visomis atakomis buvo mėginama nustatyti, ar sistemoje yra bent kokia “užpakalinių durų” programa (tokios nebuvo). Kadangi “BlackICE” turi identifikavimo komponentą, todėl buvo įdomu stebėti įtariamus įsilaužėlius – susidarė gana įdomi duomenų kolekcija, kurią jau pats galėjau naudoti sekimui.
“BlackICE” surenka įsilaužėlių IP adresus ir DNS vardus bei identifikuoja įsilaužimo tipą. Kai įmanoma, programinė įranga nustato įsilaužėlio kompiuterio (“Killer” mano atveju), grupės bei “Netbios” vardą. Tokia informacija labai naudinga saugumo ekspertams siekiant identifikuoti įsilaužėlius.
Pradėjau nuo bandymo išsiaiškinti “Killer” “Interneto” paslaugų teikėją. Pirmiausia, “BlackICE” identifikavus DNS vardą “lon-c45-017-vty41.as.wcom.net”, nustačiau domeno pavadinimą “as.wcom.net”. Buvo aišku, kad tai “MCI WolrdCom” domenas, kadangi jau buvau susidūręs su “wcom.net” priesaga. Kai nėra aišku – keliaukite į www.networksolutions.com ir vykdykite “Whois” paiešką pagal IP, suteiktą “BlackICE”. Ieškodami domeno pavadinimo, pavyzdžiui, “as.wcom.net”, naudokite ne IP adresą, o patį domeno pavadinimą “as.wcom.net”. Mano atveju aš galėjau surasti tik “wcom.net”, o ne “as.wcom.net”, todėl ieškojau pagal IP adresą.
Egzistuoja kelios “Whois” serverio duomenų bazės, kuriose laikoma informacija apie JAV, Europą, kariuomenės sistemas ir kt., todėl galbūt reikės atlikti keletą užklausų. Taigi aš įsitikinau, kad “Killer” “atėjo” per “MCI WorldCom”, nes 195.232.10.42 adresas buvo Europos IP adresų erdvėje. “Whois” taip pat patvirtino, kad “MCI WorldCom” buvo šio adreso šeimininkas.
Po to aš kreipiausi pagalbos į “MCI WorldCom/UUnet” saugumo departamentą. Jie pasiėmė informaciją ir, pasitelkę kelių “UUnet” IPT saugumo skyrių duomenis, palygino su prisijungimų prie tinklo ir informacijos maršrutų įrašais. Paaiškėjo, kad atakuojant prie tinklo buvo jungiamasi Ispanijoje ir Italijoje. Abiem atvejais hakeris “Killer” sugebėjo neteisėtai pasinaudoti teisėta IPT paskyra (account) – galbūt apgavęs oficialų paskyros šeimininką ir privertęs atskleisti slaptažodį. Ši paskyra tapo tramplinu kitoms atakoms, kurias ir užfiksavo “BlackICE”.
Mano atveju kiekvienas oficialus IPT paskyrų naudotojas buvo informuotas apie nelegalius veiksmus, jų paskyros buvo panaikintos ir sukurtos naujos. Taigi iš “Killer” ir kitų buvo atimta galimybė naudotis svetimomis paskyromis, tačiau tik laikinai. Labiausiai stebina (ir šiek tiek neramina), kad aš pats nebūčiau sužinojęs apie “Killer” ir kitas panašias atakas, jei nebūčiau panaudojęs “BlackICE”. Šis faktas pabrėžia naujosios įsilaužimų stebėjimo ir apsaugos programinės įrangos svarbą ne tik korporatyviniuose tinkluose. Nors ir negalėjau nustatyti, ar įsilaužėlis, kuris save vadino “Killer”, buvo tik beišdykaujantis paauglys ar profesionalus hakeris, tačiau tvirtai žinau viena – nenoriu, kad kas nors galėtų landžioti po mano kompiuterį. Įsilaužimų stebėjimas man tapo svarbus. Anksčiau ar vėliau, ko gero, tai taps svarbu ir jums.
