Megjegyzés: Azért teszünk közzé szokásunktól eltrően idegen anyag fordított változatát, mert az összefoglalás rávilágít a már régőta ismert, és nem kellő figyelmességgel kezelt hiányosságokra. Az eredeti anyag a www.cert.org címen található.
CERTŽ Koordinációs Központ
A CERT Koordinációs Központ 1988 óta kíséri figyelemmel a betolakodók tevékenységét. Sok minden változott azóta, a technológiától az Internet felhasználói közösség létrehozásán keresztül a támadási technikákig. Jelen dokumentum rövid áttekintést nyújt azokról a tendenciákról, amelyek napjainkban hatással vannak egy szervezet vagy egyén biztonságos Internet használatára.
1 Tendencia – Automatizálás; támadási eszközök sebessége
A támadási eszközök automatizálási szintje továbbra is növekszik. Az automatizált támadások rendszerint négy fázisból állnak, amelyek folyamatosan változnak.
Potenciális áldozatok érzékelése. A széles körben alkalmazott érzékelés 1997 óta elterjedt. Napjainkban az érzékelő eszközök sokkal fejlettebb módszerekkel dolgoznak a hatás és a sebesség maximalizálása érdekében.
Sebezhető rendszerek kompromittálása. Korábban a sebezhetőségeket csak azután használták ki, miután a széles körű keresés befejeződött. Mára a támadási eszközök a kereső tevékenység részeként aknázzák ki a sebezhetőségeket, növelve ezzel a terjedés sebességét.
A támadás terjedése. 2000. előtt a támadási eszközök mellett szükség volt egy személyre, aki előkészítette a további támadási ciklusokat. Napjainkban a támadási eszközök automatizáltan indítják az újabb támadási ciklusokat. Találkozhattunk olyan eszközökkel mint a Code Red és Nimda, amelyek kevesebb mint 18 óra alatt érték el a globális szaturációt önterjesztéssel.
A támadási eszközök koordinált irányítása. 1999 óta, a felosztott támadási eszközök megjelenésével a támadók több Internet rendszeren felosztott, nagyszámú telepített támadási eszközt képesek irányítani és koordinálni. Napjainkban a felosztott támadási eszközök sokkal hatékonyabban képesek elindítani a “szolgáltatás megtagadása” támadásokat, valamint alkalmasak a potenciális áldozat megkeresésére és a sebezhető rendszerek kompromittálására. A koordinációs funkciók kihasználják a készen rendelkezésre álló, nyilvános kommunikációs protokollokat, mint pl. az Internet Relay Chat (IRC) és az azonnali üzenetkezelés (IM).
Tendenica 2 -Támadási programok fokozott fejlettsége
A támadási programok fejlesztői sokkal fejlettebb technikákat használnak mint korábban. Támadási program aláírásokat sokkal nehezebb analízis útján felfedezni, és sokkal nehezebb aláírás bázisú rendszereken keresztül, mint pl.: antivírus szoftverek és behatolás észlelő rendszereken keresztül észlelni. Három lényeges tulajdonsága az eszközöknek a nehéz nyomonkövethetőség, analizálhatóság, valamint a polimorf szerkezet, és a modularitás.
Nehéz analizálhatóság. A támadók olyan technikákat alkalmaznak, amelyek módosítják a támadási eszközök tulajdonságait. A biztonsági szakértők számára ez megnehezíti az új támadási eszközök analizálását és a legújabb, gyorsan fejlődő fenyegetettségek megértését. Az analízis gyakran tartalmaz laboratóriumi tesztelést és ellentétes irányú tervezést.
Polimorf szerkezet. A régi támadó eszközök egyszeri, meghatározott sorozatban hajtották végre a támadási lépéseket. Napjaink automatizált támadó eszközei véletlenszerű szelekció, előre meghatározott döntési útvonal vagy közvetlen irányítás alapján tudják változtatni módszereiket.
Támadási eszközök modularitása. A korai támadó eszközökkel ellentétben, amelyek egy típusú támadást hajtottak végre, az eszközök a programrészek felcserélésével vagy feljavításával gyorsan változtathatók. Ez gyorsan kialakuló támadásokat, és szélsőséges esetben, polimorf eszközöket eredményez, amelyek minden egyes esetben különbözőek. Ezenfelül, a támadási eszközöket egyre gyakrabban úgy fejlesztik, hogy többszörös operációs rendszer platformokon fussanak.
A fejlettebb támadási eszközök által felvetett problémára példa, hogy több elterjedt eszköz alkalmaz IRC vagy HTTP (HyperText Transfer Protocol) protokollt adat illetve parancs küldésre a betolakodótól a gazdagépre. Ennek eredménye, hogy egyre nehezebbé válik a támadási aláírások megkülönböztetése a normál, legitim hálózati forgalomtól.
3 Tendencia – Sebezhetőség gyorsabb észlelése
A CERT/CC felé jelzett, újonnan felfedezett sebezhetőségek száma továbbra is több mint a duplájára növekszik évente. Ez megnehezíti az adminisztrátorok számára, hogy lépést tartsanak a javításokkal. Továbbá, a sebezhetőségek újabb csoportjai is évről-évre napvilágra kerülnek. A szoftver komponensek objektum orientált alapú fejlesztése, számoly folyamatosan meglévő biztonsági hiányosságot enged meg. A betolakodók gyakran korábban észlelik ezeket a hibákat mielőtt a forgalmazók kijavítanák őket.
A technológiák új sebezhetőségeinek automatizált észlelése felé mutató tendencia miatt az úgynevezett “javítási idő” (time to patch) egyre csökken majd.
4 Tendencia – Tűzfalak növekvő áteresztőképessége
A tűzfalak célja rendszerint az, hogy elsődleges védelmet nyújtsanak a betolakodókkal szemben.
Ugyanakkor,
A technológiákat úgy tervezik, hogy azok elkerüljék a tipikus tűzfal konfigurációkat, mint pl.: IPP hftzr (Internet Printing Protocol) és WebDAV (Web-bázisú Distributed Authoring and Versioning)
Néhány protokollt “tűzfal barátként” forgalmaznak, és valójában úgy tervezték őket, hogy elkerüljék a tipikus tűzfal konfigurációkat.
A “mobile-code” bizonyos aspektusa (ActiveX controls, Java, and JavaScript, Sripting Host) megnehezíti a sebezhető rendszerek védelmét és a veszélyes szoftverek észlelését.
5 Tendencia – Növekvő aszimmetrikus fenyegetettség
A természetétől fogva, az Internet biztonsága nagyon sok mindentől függ. Az egyes rendszerek támadásokkal szembeni kockázata a globális internethez kapcsolt többi rendszer biztonsági állapotától függ. A támadási technológia fejlődése miatt egy támadó viszonylag könnyen alkalmazhat nagyszámú felosztott rendszereket pusztító támadások elindítására az áldozat ellen (Denial of Service). Mivel mind a telepítések automatizálása és a támadási eszköz menedzsment fejlettsége növekszik, a fenyegetettség aszimmetrikus természete tovább fokozódik majd.
6 Tendencia – Infrastrukturális támadásokból származó növekvő fenyegetettség
A infrastrukturális támadások olyan támadások, amelyek átfogóan érintik az Internet kulcsfontosságú elemeit. Egyre nagyobb aggodalomra adnak okot az internetet használó szervezetek és felhasználók száma miatt, valamint azoknak a napi üzletmenet miatti ráutaltsága miatt. Az infrastrukturális támadások négy típusát röviden az alábbiakban ismertetjük.
1 Támadás – Szolgáltatás felosztott megtagadása
A szolgáltatás megtagadására irányuló támadások több rendszert használnak fel egy vagy több rendszer megtámadására azzal a szándékkal, hogy a rendszer legitim felhasználói számára a szolgáltatás ne legyen elérhető. A támadási eszközök automatizációs szintje lehetővé teszi, hogy a támadó eszközeit installálja, és kompromittált rendszerek több tízezreit irányítsa a támadás során.
A betolakodók gyakran olyan címblokkok után kutatnak, amelyek nagy sebességű kapcsolattal rendelkező sebezhető rendszerek magas koncentrációját tartalmazzák. A kábel modem, DSL, és egyetemi címblokkok kiemelt célpontjai a támadási eszközök installálását tervező behatolóknak.
A szolgáltatás megtagadását eredményező támadások hatékonyak, mivel az internetes biztonság nagy mértékben egymásra épülő elemekből áll.
Támadás- Férgek
A féreg egy önterjesztő veszélyes kód. A vírussal ellentétben, amelyhez felhasználó szükséges, hogy irányítsa a terjedés folytatását, a féreg képes önmagát terjeszteni. A férgek erősen automatizált természete, amely az általuk kihasznált viszonylag széles körű sebezhetőség természetével párosul lehetővé teszi, hogy pár órán belül, viszonylag nagy számú rendszert kompromittáljanak. (Code Red csupán 9 óra alatt több mint 250,000 rendszert fertőzött meg 2001. július 19-én)
Néhány féreg beépített szolgáltatás megtagadása támadás funkcióval (Code Red) vagy webhely rongálás funkcióval (sadmind/IIS, Code Red) rendelkezik; mások pedig dinamikus konfigurációs képességgel rendelkeznek. (W32/Leaves). A férgek legnagyobb hatása azonban az, hogy terjedésük a szolgáltatás megtagadását eredményezi az Internet nagyon sok területén a létrehozott óriási számú scan forgalom miatt, és több járulékos kárt okoznak (így pl.: tönkrement DSL útválasztók; kábel modem 4 ISP-ek, amelyek hálózatai teljes mértékben túlterheltek.
Támadás 3 – Támadások az Internet Domain Name System-en (DNS)
A DNS egy felosztott, hierarchikus globális könyvtár, amely a neveket (www.example.com) numerikus IP címekre fordítja. (192.168.13.2). A hierarchia két felső szintje kritikus az Internet működése szempontjából. A felső rétegben 13 “root” név szerver van. A következők a “top-level domain” (TLD) szerverek, amelyek hitelesek a “.com”, “.net”, stb., úgy mint az országkód felső szintű domének (ccTLDs – “.us”, “.uk”, “.ru”, etc.) A DNS fenyegetettségek közé tartozik:
Cache poisoning. Amennyiben DNS úgy van kialakítva, hogy elrejtse a hamis információt, a támadó átirányíthatja a legitim helyre szánt forgalmat a saját irányítása alatt álló helyre. A CERT/CC közelmúltban végzett felmérése szerint a TLD domainek több mint 80 %-a fut olyan szerveren, amely potenciálisan sebezhető az ilyen típusú támadásokkal szemben.
Kompromittált adatok. A támadók kompromittálják a sebezhető DNS szervereket, és ez lehetővé teszik számukra, hogy módosítsák a felhasználóknak szolgáltatott adatokat. Sok TLD szerver futtatja a BIND nevű szoftver programot, amelynél rendszeresen észlelnek sebezhetőséget. A CERT/CC felmérés jelzi, hogy a TLD domain legalább 20 %-a megtámadható szerveren fut, a másik 70 % esetében a “státusz ismeretlen”.
Szolgáltatás megtagadása. Nagy számú szolgáltatás megtagadását előidéző támadás valamelyik a név szerveren a TLD-nél (például, “.com”) okozhat kiterjedt Internet lelassulást vagy effektív leállást.
Domain hijacking. Az ügyfelek által alkalmazott nem biztonságos mechanizmusok miatt, amelyeket domain regisztrációs információ felfrissítésére használnak, a támadó képes kooptálni a domain regisztrációs folyamatokat, kontrollt szerezve ily módon a legitim domainek felett.
Támadás 4 – Forgalomirányítók elleni vagy azok általi támadások
A forgalomirányítók olyan speciális számítógépek, amelyek a forgalom irányítását végzik az interneten (hasonlóan a mail irányító berendezésekhez a postai szolgáltatásnál). A fenyegetettséget az alábbiak szerint lehet kategorizálni:
Forgalomirányítók mint támadó platformok. A behatolók kevésbé biztonságos forgalomirányítókat, mint platformokat használnak támadó forgalom előidézésére más helyeken vagy érzékelésre illetve felderítésre.
Szolgáltatás megtagadása. Annak ellenére, hogy a forgalomirányítók úgy vannak tervezve, hogy nagy mennyiségű forgalom haladjon keresztül rajtuk, gyakran nem képesek a hozzájuk irányított ugyanolyan nagyságú forgalom kezelésére. (Képzeljük el úgy mint a levelek osztályozása és olvasása közötti különbséget.) A támadók kihasználják ezt a tulajdonságot és megtámadják a hálózatba vezető forgalomirányítót, sokkal inkább mint közvetlenül a hálózaton lévő rendszereket.
Forgalomirányítók közötti megbízható kapcsolat kihasználása. A megfelelő működés érdekében a forgalomirányítóknak tudniuk kell, hogy merre küldjék a megkapott forgalmat. Ezt az információk egymás közötti megosztásával érik el, ami szükségessé teszi, hogy az egymástól kapott információt megőrizzék. Ennek következtében a támadónak viszonylag könnyű az útvonal módosítása törlése vagy annak a globális Internet útvonal táblázatba történő irányítása, abból a célból, hogy az egyik hálózatból a másikba célzott forgalmat átirányítsa, ami tulajdonképpen a szolgáltatás megtagadását okozza mindkettőnél (az egyiknél, mert nincs odairányított forgalom, a másiknál, mert a vártnál nagyobb forgalmat fogad). Annak ellenére, hogy a technológia már jó ideje széles körben elterjedt, sok hálózat (Internet szolgáltatók és nagyobb vállalatok) nem védi magát a forgalomirányítókon rendelkezésre álló szigorú titkosítással és hitelesítéssel.
Infrastrukturális támadások potenciális hatása
Szolgáltatás megtagadása
A fenyegetettség aszimmetrikus tulajdonsága miatt a szolgáltatás megtagadása valószínűleg egy nagy hatásfokú, kis erőfeszítést igénylő módszer marad a támadók számára. A legtöbb szervezet Internet kapcsolata a rendelkezésre álló sávszélesség 1 és 155 megabájt között van másodpercenként (Mbps). A támadásokat több száz Mbps és az felett jelentkeznek, ami több mint elegendő ahhoz, hogy az interneten szinte minden rendszert behálózzanak.
Érzékeny információk kompromittálása
Néhány vírus létező fájlokhoz csatolja magát a megfertőzött rendszeren, majd továbbküldi a megfertőzött fájlt. Ennek következménye lehet, hogy a szerző engedélye nélkül kerülnek szétküldésre bizalmas információk. (a Sircam példa erre).
Félrevezető tájékoztatás
A betolakodók módosíthatják a híroldalakat, hamis kiadványokat jelentethetnek meg és egyéb olyan tevékenységeket is végre tudnak hajtani, amelyeknek gazdasági kihatása lehet.
Idő és egyéb feladatoktól elterelt források
A biztonsági események legnagyobb hatása talán az idő és forrás követelmények kezelése. A Computer Economics becslése szerint a Code Red gazdasági hatása összesen 2.6 milliárd $ volt, a Sircam 1.3 milliárd $-t tett ki (összehasonlítás céljából, a becslés szerint 9/11 támadás megközelítőleg 15.8 milliárd $-ba kerül majd az IT és kommunikációs képességek helyrehozatala után).
Konklúzió
Jelen dokumentum célja az volt, hogy tájékoztassuk az olvasót a támadási technikák és eszközök jelenlegi tendenciáiról. A CERT/CC által észlelt tendenciák azt jelzik, hogy az internettől függő szervezetek számára nagy kihívást jelent hálózatuk biztonságos üzemeltetése és annak biztosítása, hogy támadás esetén is folyamatos legyen a kritikus szolgáltatások biztosítása. A jelen dokumentum melléklete felsorolja azon forrásokat, ahol több információ található a problémákról és a szükséges lépésekről, hacsak korlátozott módon is. További információ megtalálható az Internet Security Alliance és CERT/CC web oldalakon. Mindenkitől sok munkát igényel a problémák értékelése, kockázataink és azok mérsékelésének meghatározása.