Мотивы взлома случайных уязвимых систем разнообразны. Каждый раз при взломе нашей honeypot мы изучаем использованные инструменты и тактику, а также узнаем, почему было совершено нападение. Зачастую эта информация оказывается самой интересной и полезной.
Одним из мотивов может быть проведение нападения «отказ от обслуживания». В последнее время были зафиксированы нападения «отказ от обслуживания» нового вида: DDoS (Distributed Denial-of-Service - распространенный отказ от обслуживания). При проведении таких атак один пользователь управляет сотнями, если не тысячами, взломанных систем по всему миру. Действия взломанных систем подчиняются удаленному координированию для проведения нападения «отказ от обслуживания» на одну или несколько жертв. Так как в атаке участвует множество взломанных систем, невероятно трудно защититься и определить источник нападения. Для того чтобы такая атака удалась, взломщику необходим доступ к сотням взломанных систем. Для получения доступа он случайным образом определяет уязвимые системы, а затем взламывает их, чтобы использовать в качестве стартовой площадки для нападения. Чем больше взломано систем, тем мощнее нападение DDoS. Мы встречались с этим в главе 6, где анализируемая honeypot была взломана с целью использования в качестве клиента Trinoo, одной из версий инструментов DDoS. Чтобы получить подробную информацию о нападениях DDoS и о том, как защитить себя, зайдите на сайт Дейва Дитриха по адресу: http://staff. Washington.edu/dittrich/misc/ddos/.
Также нужно сказать о желании взломщиков скрыть свои исходный код и идентификацию. При нападении на определенную систему взломщики не хотят, чтобы следы привели прямо к ним. Они могут замаскировать свои истинные данные, если будут взламывать систему из цепи уже взломанных систем. Вместо того, чтобы напрямую нападать на систему из места собственного расположения, они взломают системы через несколько «прыжков» (смен IP-адреса). После взлома одной системы взломщик перепрыгивает из этой системы в другую, продолжая серию «прыжков» до тех пор, пока не достигнет конечной цели. Это невероятно усложняет задачу выслеживания взломщика, так как необходимо пройти через ряд взломанных систем. Скорее всего, где-нибудь посередине пути взломщик полностью сотрет все следы. Для того чтобы еще более затруднить выслеживание, атакующие могут взламывать системы в различных странах с разными временными поясами, языком и правительственной структурой. Администраторам и властям очень трудно идти по следу нападения в таких условиях. Языковые барьеры, временные пояса и политические системы могут вообще превратить выслеживание цепи взломанных систем в невыполнимую задачу. Для того чтобы создать такую цепь, у взломщика должен быть доступ к большому количеству систем.
Еще одним мотивом для случайного взлома систем является IRC (Internet Relay Chat). Зачастую взломщики хотят иметь на своем IRC-канале права администратора (sys ops). Для того чтобы удерживать эти права, взломщику нужно поддерживать присутствие на канале. Автоматизированный инструмент, bot, позволяет этого добиться. Однако он может «погибнуть» или другие взломщики могут убрать его. Обычная тактика состоит в том, чтобы взломать как можно больше систем и запустить из них bots. Чем больше взломано систем, тем больше ботов у взломщика. Чем больше их у взломщика, тем большей властью он пользуется на каналах IRC. Эти же системы можно использовать для проведения нападений «отказ от обслуживания» против других взломщиков, чтобы уничтожить их боты или удалить их из каналов IRC.
Кроме того, такие каналы являются основным средством общения среди взломщиков. В рамках Honeynet Project неоднократно были взломаны honeypot с целью поддержания такого сообщения. В одном случае был установлен не только bots, но и BNC - утилита, позволяющая устанавливать через систему proxy-соединения.
В качестве источника более подобной информации о IRC и о том, как он используется взломщиками для общения между собой, мы настоятельно рекомендуем прочитать статью Дэвида Брамли (David Brumley) «Tracking Hackers on IRC», размещенную по адресу: http://theorygroup.com/Theory/ irc.html
Еще один мотив - возможность похвастаться. Многие взломщики любят бахвалиться тем, сколько систем они взломали. Неважно, какие это были^истемы, главное, чтобы их было больше, чем у остальных «коллег». Зачастую нарушители рекламируют свои действия тем, что взламывают Web-сайты, а затем меняют их содержимое (например, первую страницу). Кроме того, взломанные системы могут стать своеобразной валютой. Злоумышленники могут обменивать учетные записи взломанных систем на ценные вещи, например на украденную кредитную карту. Эти мотивы рассматриваются в главе 11.
Взломанные сайты также можно использовать как центры хранения и распространения информации. Нарушители часто настраивают Web-сайты на распространение инструментов, документов, взломанного программного обеспечения, музыки, фотографий и других соответствующих файлов. Зачем взломщикам платить за такие ресурсы, когда можно воспользоваться чужими?
Мотивы нападения так же разнообразны, как и сами взломщики. Нет одного, общего для всех, мотива. Зачастую взломщики пытаются оправдать свои действия, заявляя, что они политически оправданы, например в качестве возмездия «несправедливой» политической системе или конкретным корпорациям. В главе 11 мы встретимся со взломщиками, которые утверждают, что у них есть политические мотивы, однако их поведение напоминает поведение подростков, угоняющих машины. На Web-сайте http://wwiv.attrition.org перечислены взломанные ресурсы. Потратьте немного времени на обзор этих сайтов и Web-страниц, подвергшихся варварскому нападению «script kiddies». Нарушители часто оставляют сообщения о своих мотивах. Однако эти оправдания кажутся всего-навсего воображаемыми причинами, прикрываясь которыми, взломщики пытаются удовлетворить собственные желания.
