Такого рода нападения трудно идентифицировать, поскольку для внедрения в сеть из различных узлов Internet, находящихся далеко друг от друга, производится одновременная посылка двух-трех вредоносных пакетов данных, "спрятанных" в миллионах абсолютно "невинных" пакетов. Несколько хакеров могут параллельно вести атаку на два узла, в силу чего имеющимся системам обнаружения вторжения намного сложнее идентифицировать пакеты, передаваемые в рамках скоординированного нападения.
"Ясно только одно - эти атаки согласованы, - сказал Стефан Норткат, глава отдела, занимающегося анализом вторжений в Вычислительном центре американских ВМС. - Непонятно только, каким именно образом злоумышленники координируют свои действия".
Пока известно, что в них принимает участие не менее 15 хакеров, но реальное число нападающих установить не удается. До сих пор мишенью таких атак становились сети, не входящие в непосредственную юрисдикцию Пентагона, и, по крайней мере, одна частная корпоративная сеть.
Хотя реальный ущерб, нанесенный в результате скоординированных атак, пока не определен, Норткат и его коллеги опубликовали сообщение для администраторов сети с предупреждением о появлении нового механизма вторжения.
"Мы даем информацию о том, как хакеры используют свое оружие, а не о том, что оно собой представляет", - заметил Тим Олдрич, еще один специалист по вопросам безопасности Вычислительного центра ВМС.
 | |
Обычно один хакер пытается нанести удар сразу по нескольким узлам, но в данном случае, напротив, несколько хакеров вместе поражают один или несколько узлов.
Олдрич и его коллеги предполагают, что новые методы атаки найдут широкое применение, и это послужит стимулом к разработке новых и модернизации существующих инструментов обнаружения вторжений, методов защиты и баз данных с информацией о нападениях.
Для узлов с хорошо организованной защитой Internet-соединения новый механизм атаки не намного страшнее прежних. Но узлы, которые слабо защищены и имеют расположенные с внешней стороны брандмауэра маршрутизаторы, располагающие информацией о внутренней сети, особенно уязвимы.
Группа Shadow (Secondary Heuristic Analysis for Defensive Online Warfare), созданная в Военно-морском флоте США для анализа нападений на информационные системы, разработала новую бесплатно распространяемую методику идентификации вторжений, позволяющую отслеживать деятельность хакеров такого рода. Информацию о ней можно найти по адресу http://www.nswc.navy. mil/ISSEC/CID/.
Новая методика хакеров требует от экспертов по безопасности усовершенствовать методы защиты, которые до сих пор были ориентированы на атаки злоумышленника-одиночки. При скоординированных вторжениях, однако, один из хакеров может проводить разведку, в то время как другой осуществляет нападение. Обнаружение атак требует согласования атакующих пакетов, что крайне трудно, поскольку число их велико, к тому же рассылаются они из нескольких узлов одновременно. Норткат и другие исследователи, занимающиеся этой проблемой, намерены в феврале собраться на семинар по выявлению и отражению компьютерных атак, которую проводит SANS Institute. Более подробную информацию об этом можно получить по адресу http://www.sans.org/.
SANS Institute - это организация, занимающаяся исследованиями и изучением вопросов, связанных с защитой корпоративных сетей. В ее состав входят более 62 тыс. системных администраторов, специалистов по безопасности и сетевых администраторов.