Очередной доклад CERT

Эксперты CERT предупреждают системных администраторов, о том, что пользователи Windows-систем и Internet-маршрутизаторы постепенно становятся главными объектами сетевых атак путем вызывания отказа в обслуживании.
Атакующие начали предпочитать специфические куски адресного пространства Internet, которые, более вероятно, будут содержать Windows-машины, чем все остальные, сказал Кевин Хоул, исследователь финансируемого правительством центра, выступая перед 600 инженерами и сетевыми администраторами на встрече NANOG (Группы Североамериканских Сетевых Операторов). "Если я - вторгшийся, и я научился инсталлировать свои программы на удаленных Windows- машинах, очень просто найти подразделы сети, содержащие такие компьютеры" - сказал Хоул. Так называемый распределенный отказ в обслуживании (DDoS) основывается на способности нападающего установить агентов на большом количестве компьютеров и использовать их одновременно, чтобы затопить жертву возросшим трафиком. Сдвиг с Unix-машин на компьютеры Windows начался в конце 2000 и заметно вырос в последние месяцы, сказал Хоул.
Механизмы управления большим числом пораженных машин также изменились, становясь все более и более изощренными с момента первых DDoS атак в 1999. Атакующие все чаще используют IRC - для координирования нападения, иногда также используя записи имени домена как своего рода направляющее средство для своих агентов на специфический сервер IRC. Очень тревожной тенденцией для системных администраторов стало перенаправление Internet-трафика на определенную машину и, таким образом, использование его в качестве орудия.
"На сегодняшний день мы видим, что маршрутизаторы с заданными по умолчанию и слабыми паролями становятся основными объектами атак" – сказал Хоул. После нетрудного взлома маршрутизатора, хакеры могут использовать его, чтобы запустить прямое нападение на определенный сайт, вызвав отказ его в обслуживании. Поскольку маршрутизаторы могут генерировать достаточно трафика, чтобы сокрушить даже крупнейшие хосты, но при этом выходят из строя от аналогичной контратаки, это было быстро оценено кибер-вандалами, которые стали чаще использовать этот вид нападения. "Если я - хакер, и я хочу быть хорошо защищенным от людей, засыпающих меня DDoS атаками, то я должен учесть что маршрутизатор - гораздо более мощное и легко доступное оружие, чем самый крупный сервер" - сказал Хоул.
Дальнейшее развитие этой тенденции, по словам Хоула, предвещает возможность того, что хакеры возьмут своей мишенью протоколы, связывающие маршрутизаторы друг с другом, что потенциально ведет к сбоям в работе огромных участков Internet и всей его фундаментальной инфраструктуры.
Вообще, собравшиеся на NANOG согласились, что состояние защиты нисколько не улучшилось после февраля 2000, когда обычный пятнадцатилетний канадский мальчик использовал доступные программы отказа в обслуживании, чтобы затопить трафиком многие сайты, такие как eBay, CNN.com и Yahoo!, что привело к длительному отключению их от сети. Фактически, атакующий теперь способен подготовить так много машин для DDOS-нападения, что отпадает необходимость даже маскировать источник атаки. "Если вы имеете даже 200 готовых для атаки машин, то уже не имеет никакого значения, подставной адрес вашей машины или нет" - сказал Джейсон Слагл, сетевой администратор Toledo Internet Access, крупнейшего поставщика Internet-услуг в штате Огайо.