На войне информация - это сила. Чем лучше вы понимаете своего врага, тем больше у вас шансов победить его. В войне против взломщиков, сетевых разрушителей и других обитателей киберпространства у «хороших парней» имеется на удивление мало информации. Многие профессионалы в области обеспечения безопасности и даже разработчики программных продуктов не знают приемов, тактики и мотивации врага. И такое положение дел очень выгодно для него.
Проект Honeynet был разработан для того, чтобы немного исправить эту ситуацию. Команда исследователей создала целую компьютерную сеть и полностью опутала ее датчиками. Затем эту сеть поместили в Internet, дали ей соответствующее название и наполнили соответствующим содержанием, а затем записали все, что с ней произошло. (Реальный IP-адрес не публикуется и регулярно изменяется.) Действия хакеров записываются по мере того, как они совершаются: попытки прорваться, когда они оказываются успешными; что предпринимается после удачного взлома.
Результаты оказались ошеломительными. Любой компьютер, подключенный к сети Internet, сканируется десятки раз в день. Ожидаемая продолжительность жизни, или время до успешного взлома, сервера Red Hat 6.2 с установкой параметров по умолчанию составляет меньше 72 часов. Обычная домашняя система с Windows 98 и возможностью совместного использования файла была взломана пять раз за четыре дня. Зондирование системы, использующей протокол NetBIOS, производится в среднем по 17 раз за день. И самое короткое время, за которое был взломан сервер, составляет 15 минут после подключения к сети.
Вывод из всего этого заключается в следующем: есть огромное множество людей, которые пытаются взломать вашу компьютерную сеть каждый день и, что удивительно, часто преуспевают в этом. Там, снаружи, враждебные джунгли, и сетевые администраторы, которые не предпринимают жестких мер для собственной защиты, являются легкой добычей.
Проект Honeynet - это больше, чем компьютерная сеть, работающая как приманка; это продолжающийся исследовательский проект, изучающий действия взломщиков. В рамках этого проекта в настоящий момент функционируют несколько сетей. Хотите испробовать это на собственной сети? Некоторые компании продают коммерческие, более простые, версии того, чем занимается Honeynet Project. Они называются honeypot и разработаны для того, чтобы функционировать в сети организации в качестве приманки. Теоретически хакеры находят honeypot и тратят свое время на нее, оставляя в покое реальную сеть.
Если вы проводите мониторинг сетевых тревог 24 часа в сутки семь дней в неделю или у вас есть сервис Managed Security Monitoring, тогда honeypot может предоставить драгоценное время для ответа на атаки в период их совершения. Умудренные опытом взломщики, возможно, обойдут honeypot, но большинство реальных хакеров - любители. Основной момент здесь заключается в мониторинге в режиме реального времени - просмотр системных журналов через неделю после свершившегося факта не принесет большой пользы.
По этой причине я не рассматриваю нашу работу как коммерческий продукт. О Honeynet и honeypot нужно заботиться; это не тот род продуктов, от которых можно ожидать, что они моментально заработают. Коммерческие honeypot только имитируют операционную систему или компьютерную сеть; их трудно инсталлировать и гораздо проще вычислить, чем создать Honeynet Project. А безопасность, которую они могут обеспечить, крайне слабая. Если вам интересно узнать, кто такие хакеры и как они работают, обязательно приобретите honeypot и не пожалейте времени, чтобы правильно ей воспользоваться. Но если вас интересует только защита собственной сети, то, скорее всего, лучше потратить это время на другие занятия.
С другой стороны, Honeynet Project является исключительно исследовательским продуктом. И я его большой поклонник.
Когда падает самолет, все об этом знают. Проводится широко освещаемое расследование, и любой производитель самолетов может обратиться в Национальную комиссию по безопасности воздушного сообщения и прочитать отчеты обо всех недавно произошедших авиакатастрофах. И любая авиакомпания может воспользоваться этой информацией для разработки более эффективного воздушного судна. Когда взламывается сеть, об этом практически никому не известно. Чаще всего жертва даже и не подозревает о том, что сеть была взломана. В противном случае огромное давление рынка вынуждает пользователя не объявлять об этом факте широкой общественности. А если все-таки выходит сообщение о взломе, то практически всегда в нем отсутствует информация о том, как это произошло и каковы результаты нападения.
Такая недостаточность реальной информации значительно затрудняет разработку хороших продуктов в области обеспечения безопасности. Эта книга призвана изменить сложившуюся ситуацию: она не только рассказывает о том, как работает Honeynet и как анализировать полученные с ее помощью данные, но и обобщает добытую информацию, в частности технические приемы, тактику и мотивы сообщества взломщиков.
Этот труд будет полезен всем, кто интересуется вопросами компьютерной безопасности. Замечательный материал, основанный на реальных фактах.
