https://bugtraq.ru/library/books/attack1/chapter2/c23.html

Начиная с 1987 года пользователи персональных компьютеров сталкиваются с различными компьютерными вирусами. Однако казалось, что миру сетей, большая часть из которых базировалась на ОС UNIX, ничто не угрожает. Поэтому события ноября 1988 года всколыхнули не только тех, кто имел дело с компьютерами и сетями, но и широкую общественность. 2 ноября 1988 года выпускник Корнельского университета Роберт Таппан Моррис запустил свою программу, которая вышла из-под контроля автора и начала быстро перемещаться по сети. В короткий срок вирус-червь заполнил многие узлы Internet, загружая операционные системы своими копиями, вызывая отказы в обслуживании и т.п. Анализ данной атаки будет проведен в главе 8, сейчас же отметим несколько интересных моментов.

В сетевом компьютерном мире имя Роберта Морриса было известным. Еще в 1985 году в AT&T Bell Labs им был опубликован технический отчет, посвященный слабостям реализации TCP/IP в версии 4.2 BSD UNIX [7]. Но этот отчет написан... Робертом Моррисом-старшим - отцом автора червя. Моррис-старший в это время занимал должность научного руководителя Национального Центра Компьютерной Безопасности (NCSC - National Computer Security Center) - эксперта по компьютерной безопасности. Моррис старший много лет проработал в лаборатории AT&T Bell, где в 60-х годах принимал участие в разработке программ Core Wars. К этому необходимо добавить, что лето 1988 года Моррис-младший провел в этой же лаборатории, где был занят переписыванием программ системы безопасности для компьютеров, работающих под управлением ОС UNIX. Кстати, инцидент с программой-червем практически никак не сказался на карьере Морриса-старшего. В начале 1989 года он был избран в специальный консультативный совет при Национальном институте стандартов и министерстве торговли. В задачу этого совета входит выработка заключений и рекомендаций по вопросам безопасности вычислительных систем правительственных органов США, а также решение вопросов, возникающих при разработке и внедрении стандартов защиты информации.

Червь Морриса инфицировал 6200 компьютеров. Подсчитанные потери, хотя формально червь не наносил какого-либо ущерба данным в инфицированных хостах, были разделены на прямые и косвенные. К прямым потерям были отнесены:

• остановка, тестирование и перезагрузка 42700 машин;
• идентификация червя, удаление, чистка памяти и восстановление работоспособности 6200 машин;
• анализ кода червя, дизассемблирование и документирование;
• исправление UNIX систем и тестирование.

Прямые потери были оценены более чем
в 32 000 000 долларов. К косвенным потерям были отнесены:

• потери машинного времени в результате отсутствия доступа к сети;
• потери доступа пользователей к сети.

Косвенные потери были оценены более чем
в 66 000 000 долларов. Общие затраты были оценены на сумму в 98 253 260 долларов.

В результате этого инцидента мир получил представление о компьютерной опасности, а Internet - постоянную головную боль. После анализа результатов атаки была образована CERT (Computer Emergency Response Team), которая стала отслеживать случаи атак и вырабатывать рекомендации по защите компьютеров и сетей. В самой сети можно почерпнуть данные о количестве зарегистрированных инцидентов, число которых, конечно же, неполно, так как многие подвергнувшиеся атакам не сообщают об этом, чтобы не "потерять лицо" (таблица 2.1).

Таблица 2.1

Официальное количество инцидентов в Internet

Год Число инцидентов 1988 6 1989 132 1990 252 1991 406 1992 773 1993 ? 1994 ? 1995 2412

Данные таблицы показывают все возрастающую активность нарушителей (кракеров), что сопровождается увеличением числа нарушений безопасности хостов сети.

В качестве примеров приведем относительно последние случаи успешных атак на серверы Internet:

• В августе 1996 года атакован сервер департамента юстиции США. В течение нескольких часов страницы сервера были заполнены фашистской атрибутикой и содержали пародию на Билль о телекоммуникациях.
• 6 сентября 1996 года атаке подвергся сервер компании PANIX, являющейся одним из крупнейших провайдеров Internet. В результате атаки компания несколько дней не могла предоставлять услуги своим абонентам.
• В октябре 1996 года на сервере ЦРУ вместо "Welcome to the Central Intelligent Agency" появился заголовок "Welcome to the Central Stupidity Agency" и непристойные тексты.
• 5 ноября 1996 года был атакован WWW-сервер газеты Нью-Йорк Таймс, в результате чего было практически невозможно следить за ходом президентских выборов.
• В ноябре 1996 года румынские кракеры заменили на WWW-сервере правительства портрет президента Илиеску на портрет его соперника Константинеску.
• 5 марта 1997 года взломан сервер NASA в Центре управления космическими полетами Годдарда. Кракеры разместили на страницах сервера свое обращение, в котором осуждалась коммерциализация Internet и выражался протест против судебного преследования знаменитых взломщиков Кевина Митника и Эда Каммингса. В обращении содержалась угроза атаки на "корпоративную Америку" .
• 20 марта был вскрыт сервер Сэнфорда Уоллейса - президента рекламной фирмы Cyber Promotions. Кракеры поместили в UseNet копию похищенного файла паролей, содержащего зашифрованные пароли, имена и телефоны клиентов фирмы.

Хотя по численности пользователей Internet наша страна сильно уступает США, но число нарушений безопасности также увеличиваются. Вот несколько последних случаев.

• 27 октября 1996 года российскими кракерами был взломан сервер компании РОСНЕТ, среди клиентов которой Центральный банк РФ, Сбербанк России, Торгово-Промышленная Палата, Государственный Таможенный Комитет РФ и многие другие (п. 4.3.3).
• 22 ноября 1996 года в Белоруссии на Web-узле оппозиции, представлявшего независимые новости из различных стран и регионов, была стерта вся информация.
• Многочисленные попытки осуществить мошеннические операции с кредитными карточками заставили компанию America OnLine 14 декабря 1996 года закрыть пользователям из России доступ к своим службам.

Этот список может быть продолжен. Практически каждый день приносит все новые известия о нарушениях безопасности в различных районах мира. Но печальный опыт жертв кракеров, к сожалению, не учит других. В подтверждение этого сошлемся на исследование независимого консультанта по безопасности Дэна Фармера [8], проведенное в ноябре-декабре 1996 года.

Для исследования Фармер выбрал две группы Web-серверов: основную и контрольную. В основную группу, связанную с деятельностью пользователей, исследователь включил 50 правительственных хостов, 660 банковских хостов, 274 хоста кредитных союзов, 312 хостов газет и 451 хост секс-клубов. В контрольную группу были включены выбранные случайным образом 469 хостов. Каждый из выбранных хостов оценивался на безопасность с помощью свободно распространяемого средства анализа SATAN (главу 8), одним из авторов которого является сам Фармер. Результаты исследования говорят сами за себя. По оценке Фармера более 60% хостов основной группы могут быть разрушены путем вторжения извне, дополнительно от 9 до 24% могут быть взломаны при помощи известных, но не устраненных в данных хостах, ошибок в используемых ими программах wu-ftp и sendmail. Автор считает, что еще 10-20% хостов могло быть поражено при помощи новых атак, происшедших в последнее время. Приблизительность оценок исследования вызвана тем, что автор, естественно, не пытался проникнуть в исследуемые хосты. При сравнении с контрольной группой оказалось, что уязвимость хостов основной группы вдвое выше, чем контрольной. Хотя автор не скрывал своего имени и намерений, только три администратора исследуемых хостов (два из основной группы и один из контрольной) обнаружили факт проведения исследования их хостов на безопасность.

В чем же причина того, что нарушители проникают в чужие машины? Попытаемся кратко перечислить основные причины уязвимости хостов сети:

• открытость системы, свободный доступ к информации по организации сетевого взаимодействия, протоколам и механизмам защиты;
• наличие ошибок в программном обеспечении, операционных системах и утилитах, которые открыто публикуются в сети;
• разнородность используемых версий программного обеспечения и операционных систем;
• сложность организации защиты межсетевого взаимодействия;
• ошибки конфигурирования систем и средств защиты;
• неправильное или ошибочное администрирование систем;
• несвоевременное отслеживание и выполнение рекомендаций специалистов по защите и анализу случаев вторжения для ликвидации лазеек и ошибок в программном обеспечении;
• "экономия" на средствах и системах обеспечения безопасности или игнорирование их;
• умолчание о случаях нарушения безопасности своего хоста или сети.

Трудно не согласиться с автором нашумевшего документального романа "The Hacker Crackdown" Брюсом Стерлингом (Bruce Sterling), который сказал: "Интернет - кривое зеркало общества, построившего его. Интернет станет совершенным, когда совершенным станет общество" .