Атаками весь мир полнится
Владельцам Web-сайтов посвящается
Наверное, нет ни одного читателя КомпьютерПресс, который ни разу не сталкивался с хакерскими проделками. Будь то внедренный на компьютер троянский конь, присланный по почте вирус или компьютер, выведенный из строя атакой «отказ в обслуживании». Если же говорить о корпоративных пользователях, то здесь спектр различных несанкционированных воздействий еще шире.
Для защиты от разного рода атак можно применить две стратегии. Первая заключается в приобретении самых расхваливаемых (хотя не всегда самых лучших) систем защиты от всех возможных видов атак. Этот способ очень прост, но требует огромных денежных вложений. Ни один домашний пользователь или даже руководитель организации не пойдет на это. Поэтому обычно используется вторая стратегия, заключающаяся в предварительном анализе вероятных угроз и последующем выборе средств защиты от них.
Анализ угроз, или анализ риска, также может осуществляться двумя путями. Сложный, однако более эффективный способ заключается в том, что прежде, чем выбирать наиболее вероятные угрозы, осуществляется анализ информационный системы, обрабатываемой в ней информации, используемого программно-аппаратного обеспечения и т.д. Это позволит существенно сузить спектр потенциальных атак и тем самым повысить эффективность вложения денег в приобретаемые средства защиты. Однако такой анализ требует времени, средств и, что самое главное, высокой квалификации специалистов, проводящих инвентаризацию анализируемой сети. Немногие компании, не говоря уже о домашних пользователях, могут позволить себе пойти таким путем. Что же делать? Можно сделать выбор средств защиты на основе так называемых стандартных угроз, то есть тех, которые распространены больше всего. Несмотря на то что некоторые присущие защищаемой системе угрозы могут остаться без внимания, большая часть из них все же попадет в очерченные рамки. Какие же виды угроз и атак являются самыми распространенными? Ответу на этот вопрос и посвящена данная статья. Чтобы приводимые данные были более точны, я буду использовать статистику, полученную из различных источников.
Цифры, цифры, цифры…
ККто же чаще всего совершает компьютерные преступления и реализует различные атаки? Какие угрозы самые распространенные? Приведу данные, полученные самым авторитетным в этой области источником — Институтом компьютерной безопасности (CSI) и группой компьютерных нападений отделения ФБР в Сан-Франциско. Эти данные были опубликованы в марте 2000 года в ежегодном отчете «2000 CSI/FBI Computer Crime and Security Survey». Согласно этим данным:
- 90% респондентов (крупные корпорации и государственные организации) зафиксировали различные атаки на свои информационные ресурсы;
- 70% респондентов зафиксировали серьезные нарушения политики безопасности, например вирусы, атаки типа «отказ в обслуживании», злоупотребления со стороны сотрудников и т.д.;
- 74% респондентов понесли немалые финансовые потери вследствие этих нарушений.
За последние несколько лет также возрос объем потерь вследствие нарушений политики безопасности. Если в 1997 году сумма потерь равнялась 100 млн. долл., в 1999-м 124 млн., то в 2000-м эта цифра возросла до 266 млн. долл.. Размер потерь от атак типа «отказ в обслуживании» достиг 8,2 млн. долл. К другим интересным данным можно отнести источники атак (табл. 1), типы распространенных атак (табл. 2) и размеры потерь от них (табл. 3).
Другой авторитетный источник — координационный центр CERT — также подтверждает эти данные. Кроме того, согласно собранным им данным (http://www.cert.org/stats/cert_stats.html), рост числа инцидентов, связанных с безопасностью, совпадает с распространением Internet. Таблица 4, построенная на основании данных CERT, иллюстрирует этот рост.
Интерес к электронной коммерции будет способствовать усилению этого роста в последующие годы. Отмечена и другая тенденция. В 80-е — начале 90-х годов внешние злоумышленники атаковали узлы Internet из любопытства или для демонстрации своей квалификации. Сейчас атаки чаще всего преследуют финансовые или политические цели. Как утверждают многие аналитики, число успешных проникновений в информационные системы только в 1999 году возросло вдвое по сравнению с предыдущим годом (с 12 до 23%). И в 2000-м, и 2001-м годах эта тенденция сохраняется.
В данной области существует и российская статистика. И хотя она неполная и, по мнению многих специалистов, представляет собой лишь верхушку айсберга, я все же приведу эти цифры. За 2000 год, согласно данным МВД, было зарегистрировано 1375 компьютерных преступлений. По сравнению с 1999 годом эта цифра выросла более чем в 1,6 раза. Данные управления по борьбе с преступлениями в сфере высоких технологий МВД РФ (Управление «Р») показывают, что больше всего преступлений — 584 от общего количества — относится к неправомерному доступу к компьютерной информации; 258 случаев — это причинение имущественного ущерба с использованием компьютерных средств; 172 преступления связано с созданием и распространением различных вирусов, а вернее, «вредоносных программ для ЭВМ»; 101 преступление — из серии «незаконное производство или приобретение с целью сбыта технических средств для незаконного получения информации», 210 — мошенничество с применением компьютерных и телекоммуникационных сетей; 44 — нарушение правил эксплуатации ЭВМ и их сетей.
Уязвимости в цифрах
Число уязвимостей в различных видах программно-аппаратного обеспечения также постоянно растет. И это подтверждается всеми без исключения организациями, занимающимися их анализом: Internet Security Systems (http://xforce.iss.net), CERT (http://www.cert.org/stats/cert_stats.html), SecurityFocus (http://www.securityfocus.com/frames/?content=/vdb/stats.html) и др. Например, число уязвимостей, зафиксированных координационным центром СERT, ежегодно увеличивается вдвое (табл. 5).
Более подробная статистика приводится на сервере SecurityFocus. Лидерами по числу обнаруженных уязвимостей в 2001 году являются ОС Linux Mandrake 7.2 (33 уязвимости) и RedHat Linux 7.0 (28 уязвимостей). Windows 2000 находится на почетном 7-м месте (24 уязвимости), которое она делит с Solaris 7 и 8 (по 24 уязвимости у каждой). В 2000 году бесспорным лидером была ОС Windows NT (71 уязвимость). За ней с небольшим отрывом в 6 уязвимостей следовала RedHat Linux 6.2 i386. 1999 год был годом Microsoft: 12 первых мест были оккупированы продуктами этой компании. Общая статистика за последние 5 лет приведена в табл. 6.
Владельцам Web-сайтов посвящается
Если еще несколько лет назад Web-сервер могли себе позволить лишь немногие компании, то сегодня этим никого не удивишь, и даже многие рядовые пользователи имеют свои представительства в сети Internet. Выбор операционной системы для Web-сервера обычно делается на основе требования простоты создания и управления сайтом. И здесь пальму первенства держат ОС компании Microsoft. Все, кто хоть раз сталкивался с этими продуктами, подтвердят, что создать сайт с помощью FrontPage и поддерживать его на Internet Information Server (IIS) не составляет большого труда даже для начинающих пользователей. Однако эта простота таит в себе очень большую опасность, что в очередной раз было продемонстрировано в конце июля — начале августа этого года, когда все без исключения информационные агентства сообщили о черве Red Code Worm (http://xforce.iss.net/alerts/advise79.php), атаковавшем Web-серверы под управлением IIS. И это не единичный случай. По статистике одной из команд (на 23 августа 2001 г.), собирающей информацию о взломанных Web-серверах, число последователей Windows равно 65,66% от общего числа взломанных узлов (табл. 7).
И несмотря на то что, по статистике сервера http://www.netstat.ru/, самой распространенной операционной системой в российском сегменте Internet является FreeBSD с 37,09% (затем следуют Linux и Windows с 36,15% и 18,14% соответственно), а Apache Server в 78,96% случаев выбирается в качестве Web-сервера, все же решения Microsoft — Windows NT и IIS превалируют при создании российских электронных магазинов. Рейтинговое агентство «Эксперт РА» при содействии аналитического агентства NetCraft (http://www.netcraft.com/whats/) в конце 2000 года провело анализ платформ, под управлением которых работают российские Internet-магазины. В результате выяснилось следующее:
- 3 из 4 самых крупных российских Internet-магазинов функционируют под управлением ОС Windows NT;
- больше половины магазинов, имеющих высокий потенциал, функционируют под управлением ОС Windows NT/Windows 2000;
- 41% всех магазинов российского сегмента Internet функционируют на платформе Windows.
80-й порт, отвечающий по умолчанию за сервис HTTP и, как следствие, Web-сервер, также является частой мишенью злоумышленников, особенно начиная с августа этого года. Если в июле и ранее число попыток проникновения через 80-й порт не превышало 3-5%, то с 1 августа процент таких попыток возрос до 32, а начиная с 11 августа — до 94-98%. Что интересно, в США и Канаде число атак на 80-й порт на 15% больше, чем в Европе.
Вторым по распространенности является 21-й (FTP) порт — 5-6%. Затем следуют 25 (SMTP), 53 (DNS), 111 (SunRPC), 113 (auth) и 139-й (netbios-ssn) порты. Это еще раз подтверждает, что документ, размещенный на Web-сервере НИП «Информзащита» (http://www.infosec.ru/press/pub_analiz.html) и описывающий наиболее часто атакуемые порты, до сих пор не утратил актуальности.
Заключение
Приведенные цифры со всей очевидностью демонстрируют, что число уязвимостей и использующих их атак растет с каждым годом. Злоумышленники постоянно ищут новые способы проникновения в информационные системы, и пользователи должны понимать, что недооценка способностей хакеров может привести к очень печальным последствиям.
КомпьютерПресс 10'2001