Häkkeri paljastab turvatarkvara

Tulemüüri logifailide jälgimine reaalajas ning sealt rünnakute avastamine võib olla üsna raske ülesanne, sõltudes eelkõige internetiliikluse mahust ja tulemüüri reeglite arvust ning ülesehitusest. Lisaks ei pruugi kõigil tulemüüridel olla võimalust anda koheselt häiret, kui logidesse midagi kahtlast tekib. Olemasolevaid võrgus toimuva salvestisi on võimalik analüüsida ja sellega rünnakute jälgi leida, kuid siis võib olla juba hilja midagi ette võtta. Lisaks on kasulik jälgida ka serverite ning teenusprogrammide logisid.

Intrusion Detections Systems ehk IDS tarkvara on mõeldud võimalike rünnakute tuvastamiseks ja neist informeerimiseks. Põhiliselt võib IDS süsteemid jaotada kaheks:

võrgu IDS tarkvara jälgib võrguliiklust ja püüab sealt tuvastada võimalikke rünnakuid. Et rünnakuid ära tunda on kasutusel andmebaas, mis sisaldab tuntud rünnakuid iseloomustavaid mustreid.

Serveri IDS on mõeldud serveris toimuva jälgimiseks (protsessid, süsteemsed failid) ja kui toimub midagi ebatavalist, antakse häire.

IDS süsteemide eeliseks võrreldes vaid tulemüüri salvestiste jälgimisega on ka see, et saab avastada rünnakuid avatud teenustelele, milleks võib olla näiteks veebiserver. Samas pole IDS ka mingi imerohi rünnakute vastu, kuna tema tarkusest sõltub andmebaasis olevast informatsioonist. Kui seda andmebaasi pidevalt ei uuendata, jäävad värskelt leitud rünnakuvõimalused ja -tehnikad avastamatuks.

Kui tulemüüri või IDS-i logidest selgub, et teie arvutivõrk on rünnaku all, siis järgev tegevuskava sõltub eelkõige sellest, millise rünnakuga on tegemist. Logifailides oleva IP aadressi järgi on võimalik tuvastada, kust rünnakud tulevad - selleks tuleb kindlaks teha, millisele teenusepakkujale antud aadress kuulub. Seda saab teha RIPE nimelise organisatsiooni kodulehel www.ripe.net. Sooritades teid huvitava IP kohta päringu Whois andmebaasis, saate tulemuseks millise ISP (internetiteenuse pakkuja) võrku see aadress kuulub. Kui juhtub, et päringu vastuseks ISPd sisaldavat infot ei anta, on tõenäoliselt tegemist Ameerikas või Aasias asuva võrguga.

Enamikel ISPdel on ära toodud e-posti aadress, kuhu saab saata teateid võrkudega seotud probleemidest. Tavaliselt on selleks abuse@ISPnimi. Järgnevalt tuleks sellele aadressile saata e-kiri, milles kirjeldada võimalikult täpselt probleemi olemust ja võimaluse korral lisada ka fragment rünnakut sisaldavast logifailist. Kui rünnakud jätkuvad, on mõistlik võtta ühendust oma internetiteenuse pakkujaga ning paluda ründaja aadress blokeerida. Kui tegemist on DoS rünnakuga (denial of service, s.t väga paljudelt aadressidelt tehakse massipäringid võrgu ülekoormamiseks), on soovitav koheselt pöörduda oma ISP poole palvega ründajate võrgud blokeerida ja alles hiljem kirjutama hakata.

Alati ei ole logides leiduva aadressi taga kuri häkker, rünnakuid võivad põhjustada ka viirused (Red Code ja Nimda) ning ka mõni valesti seadistatud tarkvara. Neil juhtudel on võõra ISP informeerimine eriti oluline, et tema klient saaks teada probleemidest oma arvutis.

Kõige olulisem on omada mehanismi rünnakute õigeaegseks avastamiseks ja neist teavitamiseks. Samuti oleks vajalik omada tegevusplaani juhuks, kui toimuma peaks mõni tõsisemat sorti rünnak (näiteks DoS või DDoS).

Autor: Hillar Leoste