Licho nie śpi!

Sprawa wydaje się prosta. Mamy już łącze, pozostaje tylko wystąpić do dostawcy o odpowiednią liczbę adresów IP, uruchomić serwer i cieszyć się dwudziestoczterogodzinnym dostępem do wszystkiego, co w ciągu ostatnich lat ludzka pomysłowość zdołała umieścić w Sieci. Jest jednak i ciemna strona takiej formy dostępu do Internetu – ciągle przybierające na sile zjawisko nagminnych ataków na serwery sieciowe. Może ono spowodować, że początkowy entuzjazm przerodzi się w płacz i zgrzytanie zębów, a cieszyć się będą jedynie włamywacze – przeglądając dyski naszych prywatnych komputerów.

Opisaną sytuację można odnieść praktycznie do każdego wariantu podłączenia – i nie ma znaczenia, czy kupimy SDI, łącze radiowe do Tele2 czy ADSL albo “dzierżawkę” do lokalnego dostawcy Internetu. W momencie kiedy otrzymujemy pierwsze publiczne adresy IP i udostępniamy nasz serwer w Sieci, stajemy się jej pełnoprawnymi użytkownikami. Wynikają z tego faktu liczne korzyści, np. możliwość zarejestrowania własnej domeny i serwowania stron WWW. Niestety, na nasz komputer czyha również wiele zagrożeń, z których należy sobie jak najwcześniej zdać sprawę.

Anonimowy Internet?

Wydawać by się mogło, i z taką argumentacją spotykamy się bardzo często, że komputer wystawiony do sieci publicznej jest praktycznie niewidoczny wśród milionów innych adresów IP, dostępnych w Internecie. Któż chciałby szukać naszego małego, nieodgrywającego większego znaczenia serwera, jeśli do dyspozycji ma tysiące witryn firmowych, portali i innych atrakcyjnych dla włamywacza miejsc?

Nic bardziej mylnego! W dzisiejszych czasach żaden włamywacz nie zawraca sobie głowy ręcznym przeglądaniem sieci w poszukiwaniu liczących się potencjalnych ofiar. Do takich żmudnych zadań można przecież zaprząc maszyny – tak jest zarówno łatwiej, jak i szybciej. Dobry skaner potrafi w ciągu godziny sprawdzić setki tysięcy adresów według dowolnego klucza (wybrane klasy adresowe, losowo itp.). W wyniku tego działania powstaje lista hostów, stanowiąca prawie gotowy wykaz komputerów, które niemalże proszą: “włam się do mnie!”.

Serwery w ofierze nauki

Żeby nie być gołosłownym, przytoczmy wyniki interesującego projektu o nazwie Honeynet. Otóż w pewnej odległej podsieci bez większego znaczenia uruchomiono kilka serwerów. Zainstalowano na nich całkowicie typowe wersje popularnych systemów operacyjnych, które można często spotkać w Internecie. Znalazły się wśród nich Windows 98, Linux, Solaris i kilka innych, z domyślną konfiguracją i bez żadnych poprawek zalecanych przez producentów. Czyli tak, jak wygląda (niestety!) większość dostępnych w Sieci komputerów.

Cel opisywanego eksperymentu był prosty – stwierdzić, jak szybko serwery te zostaną zauważone przez włamywaczy. Przy okazji okazało się także, jakie są typowe techniki ataków i według jakich scenariuszy one przebiegają. Wyniki tej próby będą zapewne szokujące dla wielu Czytelników, ale mają one jedną bezdyskusyjną zaletę – są prawdziwe. Otóż wszystkie serwery linuksowe “postawione” na Red Hacie 6.2 (było ich siedem) poddały się najpóźniej w trzy dni po uruchomieniu, przy czym absolutnym rekordem było włamanie w czasie… 15 minut od włączenia! Do komputera z zainstalowanym Windows 98 tylko podczas pierwszej doby włamano się pięć razy, a w całym roku 2001 porty każdej z maszyn biorących udział w eksperymencie były skanowane ponad 200 razy na miesiąc.

Internet nie jest już cichą i spokojną dzielnicą willową, gdzie od czasu do czasu pojawia się dżentelmen-włamywacz w rodzaju Arsena Lupina. Używając obrazowych porównań, można by raczej postrzegać współczesną sieć jako gierkowskie blokowisko pełne szaleńców z kijami bejsbolowymi. Jeśli więc wynajmujemy tam nowe mieszkanie, to upewnijmy się, że nasze drzwi wejściowe są dobrze zabezpieczone przed włamaniem!

Więcej:bezcatnews