Позвонил мне на днях приятель и с ходу потребовал какую-нибудь "крутую" хакерскую программу. На вопрос "зачем", он в ярости ответил: "Да вот, делал важный документ, а тут, бац, синий экран. Ничего не сохранилось. А потом пришло письмо по электронной почте от какого-то хакера". Отчасти знакомая ситуация, не правда ли? Наверное у каждого пользователя компьютера бывали минуты, когда в разгар работы над чем-то важным у вас вдруг перегружался компьютер или запущенный вам на компьютер червь удалял ваши файлы, не говоря уже о случаях кражи паролей доступа в Internet. После короткого чувства бессилия вы желали только одного - отомстить. Также думали и многие звукозаписывающие компании, которые устали бороться с пиратами и которые 25 июня 2002 года вышли в палату представителей Конгресса США с необычным законопроектом. В случае принятия этого закона звукозаписывающие компании и другие владельцы прав на интеллектуальную собственность получат право на принудительное отключение пользователей, распространяющих пиратский контент. Законопроект, представленный конгрессменами Говардом Берманом и Говардом Коблом, предусматривает использование практически любых мер для блокирования сетевых пиратов. В частности, допускается перенаправление пиратского трафика, блокировка файлов, проведение DoS-атак на пиратские системы. Единственное, что запрещено в данном законопроекте - это использование всевозможных средств для разрушения компьютерных систем или уничтожения данных.

Попытка провести этот закон в очередной раз подняла волну обсуждений на тему: "можно ли использовать против хакеров их же оружие?". Другими словами, можно ли реализовывать встречную атаку с целью отбить атаку противника. Многие специалисты считают эти действия оправданными и сравнивают их с необходимой самообороной. Особенно ратуют за такие контрнаступательные операции работники силовых и военных ведомств, для которых эти действия знакомы по реальной жизни и которые являются элементом обычных боевых действий. Для большинства хакеров, особенно тех, кого можно отнести к категории script kiddies (т.е. использующих чужие разработки), в руки которых попали свободно распространяемые в Internet атакующие программы, вывод их компьютера из строя считается воспитательной мерой и достойным наказанием.

Кстати, в Internet можно найти не только средства для реализации атак, но и средства для их обратного перенаправления. Например, такая функция есть в системе обнаружения атак PortSentry. Кроме того, ко многим системам обнаружения атак вы можете подключать свои сценарии реагирования, в т.ч. и контратаки. В некоторых странах пошли еще дальше и пытаются легализовать контратаки (см. пример выше). Некоторые правительственные чиновники также, не имея возможности законодательно запретить деятельность тех или иных преступных элементов, пытаются использовать против них технические меры. Например, 10 апреля 2001 года министр внутренних дел ФРГ Отто Чили заявил, что против сайтов неонацистов немецкие спецслужбы могут предпринять DoS-атаки. Однако через некоторое время он отказался от своих слов и пообещал, что бундестаг будет искать законные методы нейтрализации сайтов нацистской направленности. Некоторые страны, не приветствуя контратаки на словах, на деле не гнушаются такими действиями в отношении своих противников. В августе 1999 года были взломаны сайты Kavkaz.org и Amina.com, принадлежавшие чеченским террористам. На этих сайтах появился портрет М.Ю. Лермонтова и надпись "Здесь был Миша! KAVKAZ.ORG и AMINA.COM были прихлопнуты по многочисленным просьбам россиян. С сайтами террористов и убийц всегда будет так!" По некоторым фактам, следы хакеров-патриотов ведут в российские спецслужбы.

Тем не менее, не все согласны с таким, на первый взгляд, простым решением. Ведь, казалось бы, достаточно зафиксировать адрес злоумышленника и провести против него ответную атаку. Несмотря такую простоту многие эксперты считают, что контратака аналогична самосуду, в котором вы выносите приговор без решения судей. Кроме того, по мнению большинства специалистов, основная проблема заключается в точной идентификации реального адреса злоумышленника (я об этом писал уже в статье "Видит око, да зуб неймет" в PCWeek/RE №13 за 2002 год). Если вы можете со 100%-ой вероятностью утверждать, что знаете, кто и откуда вас атакует, тогда вы действительно можете попробовать контратаковать своих визави. Однако если вы точно знаете, кто вас атакует, тогда зачем опускаться на одну ступень с хакерами? Ведь если хакер пострадает от ваших рук, то он обозлится на вас и будет продолжать свои атаки. И так до бесконечности. Куда эффективнее решить этот вопрос раз и навсегда, обратившись в соответствующие правоохранительные органы. Уж они-то знают, как убедить хакеров, что "атаковать - это плохо". Вся беда в том, что пока российские силовые ведомства не имеют ни знаний, ни опыта, чтобы расследовать такие дела (об этом писалось в PCWeek/RE, №20, 2001 и PCWeek/RE, №38, 2002). Да и не будут они этого делать; если на каждую DoS-атаку, проведенную против сотни тысяч узлов в Рунете, заводить дело - никаких специалистов и бумаги не хватит. Даже в такой продвинутой в компьютерном смысле стране, как США, специалисты правоохранительных органов в неофициальной беседе говорят, что "мы не можем решить эту проблему. Это слишком тяжело. Если вы самостоятельно позаботитесь о ее решении, то мы будем смотреть на это сквозь пальцы. Только будьте внимательны".

Опытный же хакер очень редко когда проводит атаку со своего реального адреса - обычно он использует различные промежуточные узлы, чтобы скрыть свое местонахождение. А очень часто используемая подмена адреса, приведет к тому, что контратака будет направлена на ничего не подозревающего пользователя. Например, весной 1997 года администратор одного из шести крупнейших Internet-провайдеров США отметил более 1000 одновременных соединений со своим межсетевым экраном и решил мгновенно провести контратаку. Еще до вызова специалистов ФБР он блокировал весь сетевой трафик, который он посчитал вредоносным, что повлекло за собой нарушение работоспособности практически 75% всей сети Internet.

В свою очередь атакованный пользователь может выдвинуть обвинение в атаке уже против контратакующего. Хотя здесь тоже кроется небольшая тонкость. Если вы перенаправляете злоумышленнику его же запросы без изменений, то это действие может быть квалифицировано как отказ от получения трафика, т.е. нормальную функцию сетевого взаимодействия. Но как только вы модифицируете эти запросы или реализуете свою собственную контратаку, то эти действия уже становятся противозаконными.

К сожалению, современные технологии не гарантируют однозначной идентификации местоположения нападающих. Поэтому в известных успешных случаях контратак для обнаружения адреса злоумышленников использовались несколько иные методы, например, заявления самих хакеров или оперативные мероприятия. Как сообщается в пресс-релизе хостинговой компании Conxion, начиная с 30 ноября по 3 декабря 1999 года политическая группа, называющая себя "электрохиппи" ("э-хиппи") атаковала сайт Всемирной Торговой Организации, который управляется компанией Conxion. Электрохиппи пытались вывести сайт ВТО из строя с помощью распределенной DoS-атаки, направленной из 3793 различных IP-адресов, однако специалисты по защите компании Conxion перенаправили весь поток запросов обратно на сайт э-хиппи, что привело к его "падению". При этом сами э-хиппи посчитали, что перегрузка их сервера была следствием большого числа посетителей, являющихся их сторонниками.

Оперативные мероприятия используются правительственными или военными ведомствами. В сентябре 1998 года группа мексиканских хакеров Electronic Disturbance Theater планировала ряд атак на Пентагон. Одно из подразделений Пентагона провело контратаку, приведшую к отказу в обслуживании атакующих компьютеров. После контратаки EDT даже планировал предъявить иск к Министерству Обороны США за взлом их сети. В июне этого же года аналогичные действия против EDT были реализованы экспертами мексиканского правительства. Всякий раз, когда EDT реализовало с помощью т.н. сети FloodNet атаки, направленные на сервера правительства, специально разработанное программное обеспечение активизировалось и контратаковало нападающих, приводя к отказу атакующих систем.

Несмотря на то, что действительно эффективных способов обнаружить реальный адрес противника пока не существует, производители средств защиты уже выпускают свои продукты, оснащенные механизмами реализации контратак, оставляя их использование на совести пользователя. Мало того, производители играют на желании любого человека адекватно ответить на реализованную против него угрозу. Согласно опросу "Corporate America's Competitive Edge" 30% американских компаний, входящих в список Fortune 500, используют против хакеров средства или механизмы реализации контратак, к которым можно отнести:

• Перенаправление входящих запросов на адрес злоумышленника.
• Разрыв соединения с атакующим узлом.
• Реконфигурация межсетевых экранов и сетевого оборудования с целью последующего блокирования всех запросов с атакующего адреса.
• Посылка сообщения Internet-провайдеру с целью блокирования злоумышленника.

В заключение хочу заметить, что, несмотря на сложности в обнаружении адреса злоумышленников, не стоит безоглядно сбрасывать со счетов данный вариант реагирования. При выполнении ряда условий он имеет право на жизнь. А, учитывая, что большинство атак осуществляется изнутри компании, где идентифицировать нарушителя намного проще, чем в Internet, шансы на удачную контратаку существенно возрастают. Главное, не действовать по принципу "сначала стреляю, а потом смотрю куда".

Об авторе:

Алексей Викторович Лукацкий, заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита"
(Москва). Автор книг "Обнаружение атак" и "Атака из Internet". Связаться с ним можно по тел. (095) 937-3385 или
e-mail: luka@infosec.ru.

08 ноября 2002 г.

обсудить  |  все отзывы (0)
Выберите оценку 10 (изумительно) 9 (отлично) 8 (хорошо) 7 (неплохо) 6 (средненько) 5 (сойдет) 4 (так себе) 3 (слабо) 2 (плохо) 1 (отвратительно) Вернуться в раздел Перейти к рейтингу Перейти к обсуждению Вернуться к статье	[12556; 2; 4.5]