базовый иммунитет

ЕКАТЕРИНА ДЕРБЕНЦЕВА

Спецвыпуск: Хакер, номер #066, стр. 066-014-1

ПОЧЕМУ ЛОМАЮТ БД

ОТВЕТ НА ЭТОТ ВОПРОС ЛЕЖИТ НА ПОВЕРХНОСТИ: «ПОТОМУ ЧТО ИМЕННО ТАМ ХРАНИТСЯ ЦЕННАЯ ИНФОРМАЦИЯ И ИМЕННО ТАМ ОНА СИСТЕМАТИЗИРОВАНА СООТВЕТСТВУЮЩИМ ОБРАЗОМ»

Мини-статья 1

атаки на базы через интернет

База данных в Сети — лакомый кусочек не только для тех, кто знает, куда и зачем он лезет, но и для тех, кто приобрел хакерские навыки, захотел попрактиковаться в них и опробовать новые эксплойты.

[в первую очередь] посмотрим на распределенные «DDoS-атаки». Они не позволят добраться до информации и получить доступ к ней, зато сделают критичный ресурс недоступным для остальных пользователей. Распределенные «DDoS-атаки» обычно организуются при помощи бот-сетей (из компьютеров-зомби). По оценкам специалистов, сейчас практически каждый второй компьютер, имеющий выход в интернет, участвует в какой-либо бот-сети, которая в любой момент может быть использована для организации подобной атаки.

[распределенная атака] обычно организуется по следующей схеме. Компьютеры пользователей, зараженные определенной троянской программой, объединяются в сеть. Образованные сети могут находиться в «спящем режиме» достаточно долгое время, ожидая своего часа. Численность компьютеров в бот-сети иногда получает размах от нескольких десятков до десятков тысяч машин. В определенный момент (по команде владельца) эти узлы начинают посылать запросы к серверу БД. Идет множество бессмысленных обращений — и вот сервис уже отказывается отвечать на любые запросы. В худшем случае он совсем выходит из строя и становится неспособным самостоятельно вернуться к рабочему состоянию. Если подобная атака организуется на сервер с базой электронных платежей крупного интернет-магазина, то размеры ущерба, может быть, внушат уважение и, несомненно, порадуют конкурентов.

Бот-сеть является обычным, но не обязательным компонентом такой атаки. Подобные действия могут совершаться и по предварительному сговору машин, не связанных в такую сеть.

как противостоять DDoS-атаке

НАВЕРНОЕ, НА СЕГОДНЯ НЕТ ПРОСТОГО И УНИВЕРСАЛЬНОГО СПОСОБА РЕШИТЬ ЭТУ ЗАДАЧУ. КАК ВАРИАНТ — РАСПАРАЛЛЕЛИВАТЬ ЗАПРОСЫ К БАЗЕ ЛИБО ПИСАТЬ ПОЛИТИКИ, СОГЛАСНО КОТОРЫМ ЗАПРЕЩАЕТСЯ ИСПОЛЬЗОВАНИЕ ПРОЦЕССОРНОГО ВРЕМЕНИ СВЫШЕ ОПРЕДЕЛЕННОГО ВРЕМЕННОГО ПРОМЕЖУТКА. ОДНАКО ЭТО НЕ ВСЕГДА ПРИЕМЛЕМО, А КРОМЕ ТОГО, ПРИВОДИТ К БАНАЛЬНОМУ УВЕЛИЧЕНИЮ ЗАДЕЙСТВОВАННОЙ ВЫЧИСЛИТЕЛЬНОЙ МОЩНОСТИ — РЕСУРСЫ НАПРАВЛЯЮТСЯ НЕ НА ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ СИСТЕМЫ, А НА ВОЗМОЖНУЮ ОБРАБОТКУ ФИКТИВНЫХ ЗАПРОСОВ.

[интернет-разведка] Всемирная паутина предоставляет широкие возможности для «практикующихся» взломщиков и лиц, собирающих предварительную информацию об интересных им ресурсах, годную для применения в будущих атаках на БД. Они могут использовать соответствующие запросы на поисковых машинах, и по их результатам система выдает списки интернет-серверов с базами данных. Первая атака, в ходе которой была применена поисковая машина, зарегистрирована в 2004 году, и с тех пор этот метод является обычной практикой для получения дополнительной конфигурационной информации о серверах-жертвах.