[ Alex WebKnacKer ] Хакинг и антихакинг - защита и нападение. Книги удк 004. 056. 5Alex WebKnacKer
Скачать 42.38 Mb.
|
ГЛАВА 1. гостями по полной программе, так что хакерам приходится прилагать множе- ство усилий и проявлять большую изворотливость, чтобы решить свои задачи. В полном соответствии с методами взломщиков, орудующих в реальном мире, которые тщательно планируют нападение на банки и прочие места, где водятся денежки, настоящие хакеры также разрабатывают сценарии вторжения и готовят инструменты для доступа к лакомым ресурсам. Эти сценарии могут быть самы- ми различными, но все они выполняются в три этапа, полностью соответствую- щие действиям взломщиков в реальном мире: сбор информации - вторжение - заметание следов. Сбор информации С помощью различных источников хакеры ищут информацию, необходимую для проникновения на чужую территорию. Например, они могут использовать Интернет, обратившись к сайту организации, в сеть которой они хотят вторг- нуться, или рекламные буклеты этой организации, в которых можно найти но- мера телефонов корпорации, имена сотрудников и адреса их электронной почты и так далее [3]. Далее хакеры выполняют сканирование сети организации для выявления ее структуры, инвентаризации общих ресурсов, используемых опе- рационных систем, запущенных программ и систем защиты. Для этого вуют целые наборы программных инструментов, работу с которыми мы будем описывать на протяжении всей книги. А предварительно, в Главе 3 приводится общее описание всех средств, которые используют хакеры для сбора информа- ции о своей потенциальной жертве. Собрав нужную информацию, в состав которой входит структура атакуемой ин- формационной системы, адреса серверов локальной сети организации, исполь- зуемые операционные системы и средства хакер приступает к вторже- нию. Излюбленный средствами массовой информации и Голливудом сюжет опусов на тему хакинга - взлом через Интернет компьютерной системы на дру- гом конце земного шара - это отнюдь не единственный метод доступа к закры- той информации, хотя и самый эффектный и привлекательный для зрителя. Если хакер - это настоящий, решительно настроенный охотник за закрытой информа- цией, для достижения цели он использует тот метод, который наиболее эффек- тивен для решения задачи. Все зависит от обстоятельств, и если у хакера есть возможность физического доступа к компьютеру, он им воспользуется, посколь- ку наиболее мощные средства взлома системы защиты предполагают локальный доступ к компьютерной системе. Ниже приведена классификация методов вторжения по способам доступа хакера к атакуемому компьютеру, поскольку от этого в значительной степени зависят возможности хакера по применению инструментов взлома защиты. 20 Быстро и легко. Хакинг и Антихакинг • Локальное вторжение. Этот метод состоит во взломе компьютерной системы с управляющей кон- соли компьютера. Наиболее доступен такой метод для служащих самой ор- ганизации, которые имеют доступ к компьютерной системе, знают местона- хождение информационных ресурсов и способны производить с различные манипуляции скрытно от окружающих. Типичный пример опи- сан в разделе «Кража финансов» выше, где сотрудник финансовой организа- ции имел привилегии, достаточные для хакерской модификации компьютер- ной системы. Кстати, это очень симптоматично - именно системные админи- страторы, имея самый высокий уровень привилегий, часто становятся источ- ником проблем для системы безопасности [2]. Однако и простые смертные имеют определенные шансы на успех в этой области, особенно учитывая хаос, царящий во многих корпоративных сетях. Допустим, вы ушли на перекур, бро- сив компьютер на произвол судьбы (согласитесь, очень распространенное на- рушение политики безопасности), а после вашего возвращения оказывается, что жесткий диск отформатирован, или на компьютере запущена программа клавиатурного шпиона. Это - типичный пример локального вторжения, когда хакеру удалось получить физический доступ к компьютеру. Во второй части этой книги мы подробно описываем множество инструментов и приемов, кото- рые может применить хакер для вторжения в компьютер при наличии локаль- ного доступа. • Вторжение из Интернета. Вторжения из Интернета грозят всем, кто когда-либо подсоединялся к серверу Интернета и работал с различными Интернет-сервисами, например, электрон- ной почтой, серверами новостей и Web-ресурсов. При наличии дыр в системе защиты хакеры в состоянии подсоединяться к компьютеру пользователя и, в за- висимости от полученных привилегий, решать самые разнообразные задачи, вплоть до установления полного контроля над компьютером жертвы. Причем в последнее время, в связи с распространением (по крайней мере, на Западе) домашних компьютеров, постоянно подсоединенных к Интернету, эти ком- пьютеры стали активно использоваться хакерами для выполнения наиболее опасных атак DDoS (Distributed Denial of Services - Распределенный отказ от обслуживания). Мы опишем атаки DoS подробнее в Главе 13 этой книги. Другой тип атак через Интернет - рассылка вирусов. Допустим, к вам прихо- дит письмо с вложением, предлагающее вам обновить свой Web-браузер. Вы щелкаете на ссылке, и ваша компьютерная система на ваших глазах умирает (или становится рабом какого-нибудь «кул обеспечивая его паро- лями для доступа к серверу провайдера Интернета или другому платному ресурсу Web). Имеются и более изощренные атаки, когда для размещения на компьютере хакерской программы не требуется даже и щелчка мышью -- используя некоторые недостатки почтового клиента, можно составить такое электронное письмо, что прикрепленное к нему ГЛАВА вложение автоматически перекочует в папку автозагрузки компьютера и исполнится при следующем перезапуске. А как составляются такие письма и осуществляются некоторые другие атаки на почтовые сервисы, описано в Главах 9 и 10 этой книги. С вами может случиться и такое - в один прекрасный день вы обращаетесь к своему Web-сайту, и вместо знакомого содержимого обнаруживаете там «из- делие» какого-то «Web-мастера» с компрометирующим вас содержимым. Значит, кому-то удалась атака на Web-сервер - подробности о таких атаках можно узнать в Главе 12. Рассылка вирусов, социальная инженерия и про- чие шалости - список может быть пополнен, и на фоне их упомянутые в разделе «Вандализм» 19 способов навредить своему сетевому другу - это просто мелкие шалости. Подробнее все эти вопросы описаны в частях 3 и 4 этой книги. Наиболее сложным и квалифицированным вторжением в компьютерную сис- тему через Интернет следует считать удаленный взлом системы защиты кор- поративной сети, подсоединенной к Интернету. Решение такой задачи требу- ет тщательной подготовки и изучения атакуемой системы, и в Главе 14 этой книги мы опишем некоторые технологии удаленного взлома сети TCP/IP компьютеров Windows 2000/XP. Вторжение из локальной сети. Допустим, у себя на работе вы используете локальную сеть организации для общения со своим сетевым соседом. И вот однажды, при личной встрече с этим самым соседом, выясняется, что он абсолютно не в курсе недавно обсу- ждаемой темы. С кем же вы тогда общались в виртуальном пространстве и что успели выболтать? Это - пример сетевой атаки, когда хакер, путем неко- торых ухищрений заставляет сетевые компьютеры общаться через посредни- ка, в качестве которого он навязывает свой компьютер. Другой пример - пе- рехват данных, выполняемый через нелегальное подключение к сетевому белю. Эти атаки настолько популярны, что для них придумано даже свое на- звание - от английского слова sniffing - вынюхивание. Для сниф- финга создано множество инструментов и технологий, наиболее популярные из которых описаны в Главе 17 этой книги, а в целом вопросы хакинга сетей TCP/IP описаны в части 5 этой книги. Вторжение через модем Ныне, по крайней мере, на Западе, стало модным устанавливать (как правило, нелегально) модем в свой офисный компьютер для обеспечения к нему уда- ленного доступа со своего домашнего компьютера. Более кое-какие ум- ники даже упрощают задачу хакера, одновременно с модемом устанавливая на компьютер программу для удаленного управления, да еще и без всякой на- стройки системы защиты! Все это напоминает открытие крепостных ворот и опускание моста через крепостной ров прямо перед носом атакующего про- 22 Быстро и легко. и Антихакинг тивника - ведь такое подключение в обход общесетевой системы защиты, как правило, нарушает все правила политики безопасности организации. Не уди- вительно, что через некоторое время в локальной сети офиса заводится, ска- жем, вирус, который заражает все компьютеры сети, или программа клавиа- турного шпиона, которая докладывает своему хозяину о всех действиях на компьютере, вплоть до нажатия на отдельные клавиши. Все вышеописанное - пример вторжения через удаленное соединение. Поиск и использование таких соединений - это целая отрасль хакинга, по- скольку они предоставляют хакеру много возможностей и перспектив [3]. В старых организациях, как правило, существует множество некорректно на- строенных внутренних АТС с забытыми телефонными линиями, подсоеди- ненными через модем к установленным где попало сетевым компьютерам. Эти подключения либо вообще не защищены от несанкционированного дос- тупа, либо защищены недостаточно [3]. Поэтому все такие линии связи - просто пожива для хакера, поскольку предоставляют ему прекрасный способ вторжения в сеть через модем с помощью специального программного обес- печении для прозвона телефонных номеров и автоматического подбора паро- лей удаленного входа в атакуемую систему. В Главе описана наиболее высокоразвитая на текущий момент программа- сканер телефонных линий PhoneSweep. В отличие от многих имеющихся программ-сканеров телефонных номеров, PhoneSweep работает в системах Windows 2000/XP, снабжена графическим интерфейсом и мощной экспертной системой идентификации и взлома удаленных систем. Все это ставит ее вне всякой конкуренции по сравнению с популярными программами Login Hacker, TCH-Scan или ToneLock. Одно из применений PhoneSweep - аудит телефонных линий связи организаций с целью проверки их защищенности. Вообще, программные средства хакинга удаленных соединений весьма по- пулярны среди хакеров - очень многие «кул пытаются подклю- читься к серверам провайдеров Интернета именно с помощью программ прозвона телефонных номеров и подбора паролей входной регистрации. Что из этого получается, можно узнать на ленте новостей сайта SecurityLab.ru - сплошным потоком идут сообщения, как одного «кул хац- тут забрали, другого здесь посадили, и так далее. Печально все Все эти забывают, что существуют такие вещи, как автооп- ределители телефонных номеров и их попытки несанкционирован- ных телефонных подключений выдают их с головой. И тем не менее, как следует из некоторых источников в Интернете, до 50% попыток вторжений в чужие сети, включая банковские выполняются через телефонные ли- нии, причем с домашних Что тут сказать... Становится оче- видным важность следующей задачи хакинга - сокрытие следов. ГЛАВА 23 следов Каждый злоумышленник перед тем, как покинуть место преступления, заметает следы, уничтожая отпечатки пальцев и другие следы, которые могут помочь его идентификации. Так же и хакер должен уничтожить все следы своего вторже- ния, по которым его могут найти. Никогда не следует забывать, что в любой ма- ло-мальски защищенной системе функционируют средства аудита, регистрирую- щие все подозрительные действия пользователя. Другая задача заметания следов - сокрытие файлов, помещенных хакером в систему, и процессов, запущенных для слежения за работой легитимных пользователей. Для очистки следов пребывания существует множество методов, включающих очистку журналов аудита, сокрытие запущенных программ и процессов поме- щением их в ядро операционной системы (т.е. той ее части, которая невидима для пользовательского интерфейса). Скажем, взамен подлинных процедур ядра операционной системы, хакер может запустить подмененные процедуры, кото- рые будут оповещать его обо всех введенных пользователями паролях входной регистрации, и выполнять другие действия, например, пересылку хакеру рас- крытых паролей по Интернету. Такие задачи выполняются с помощью целых комплектов программ, которые в просторечии называются наборами отмычек, или, на сленге, (от английского слова rootkit - корневой комплект инструментов). - весьма популярное средство хакинга систем UNIX, но и Windows 2000 не обойдена вниманием, и в Главе 7, посвященной целиком вопросам сокрытия следов хакинга, мы еще обсудим эту тему, хотя, надо ска- зать, настоящий для Windows, по видимому, еще на стадии создания. Другой аспект задачи сокрытия следов связан с Интернетом. При попытках хакинга через Интернет хакер должен скрыть свой IP-адрес, который очень легко фиксируется системами обнаружения вторжений и далее позволяет вы- ловить хакера прямо на рабочем месте. И тут мы сталкиваемся с совпадением задач хакинга и антихакинга - задача сохранения своей конфиденциальности актуальна для обеих сторон. Для решения таких задач существует множество методов, самый лучший из которых - отказ от использования для хакинга ком- пьютеров, способных выдать ваше местонахождение, подключение через про- кси-серверы, использование специальных программ - брандмауэров, ограничи- вающих передачу конфиденциальной информации от компьютера пользователя Интернета на сервер. Мы рассмотрим эти задачи по мере изложения методов хакинга во всех главах этой книги, а отдельно этой теме посвящена Глава 7 - и автор НАСТОЯТЕЛЬНО СОВЕТУЕТ ВСЕМ ПРОЧИТАТЬ ЭТУ ГЛАВУ САМЫМ ВНИМАТЕЛЬНЫМ ОБРАЗОМ, прежде чем применять на деле все те штучки, которые описаны в этой книге. 24 Быстро и легко. Хакинг и Мы можем сделать такие выводы. Ныне становится все более очевидным, что в виртуальном киберпространстве ведутся самые настоящие войны, причем на всех фронтах и во всех регионах земного шара. Основу тактики виртуальных сражений составляет террор - нападающая сторона стремится скрытно выявить слабые стороны противника, исподтишка нанести удар, имея целью нанести максимальный урон, после чего скрыться. Поэтому всем жертвам хакинга не остается никакого выбора - методам террора следует противопоставить методы антитеррора, предполагающие заимствование хакерских приемов и методов в целях защиты. Попробуем изложить эту концепцию более связно - читайте сле- дующую главу. Г Л А В А 2 . В предыдущей главе мы попытались показать современный уровень угроз от действий хакеров в виртуальном киберпространстве. Учитывая многочислен- ность, уровень технической оснащенности и профессионализм хакерских втор- жений, а также наносимый ими урон, можно сделать вывод - ныне в виртуаль- ном пространстве наступила эра кибертерроризма. И все читатели предыдущей главы должно быть уже задают себе вопрос - а что же делать в ответ на дейст- вия всякого рода личностей, густо населяющих виртуальное киберпространство? прост - защищаться, и в этой главе мы познакомимся с тем, что может сделать антихакер в ответ на действия своего антипода. В настоящее время самая распространенная тактика борьбы с кибертеррором - сдерживание, т.е. меры пассивной обороны. Именно такой метод предлагают нам все многочисленные руководства по системам защиты (см., например, в которых описывается традиционный набор средств защиты, включающих при- менение антивирусов, брандмауэров, парольной защиты, шифрования и многое другое. Однако мер, предлагаемых тактикой сдерживания, ныне явно недостаточно. Чтобы эффективно защитить свою компьютерную систему, порой компьютер- ному террору следует противопоставить меры компьютерного антитеррора, под которыми подразумевается выполнение антихакером действий, пресекающих исполнение хакерской атаки, как непосредственно в ходе ее выполнения, так и превентивно. Эта тактика антитеррора должна быть позаимствована из реальной жизни и опираться на фундаментальный принцип реального, т.е. не спортивного или игрового поединка - для победы в виртуальной схватке антихакеру следует применять любые действия, адекватные угрозе и ситуации на поле боя, отнюдь не ограниченные только блокированием ударов противника. Антихакер должен победить - а для этого следует отразить атаку хакера и пресечь возможные по- вторные попытки вторжения. Последнее предполагает выполнение превентив- ных действий для приостановки враждебной деятельности кибертеррористов. Все зависит от ситуации: став объектом навязчивого преследования со стороны всякого рода личностей, бродящих по Интернету в поисках поживы, иногда тре- буется принять более активные меры самообороны, позаимствовав кое-какие методы у своих противников (конечно, в рамках закона). Например, заметив по- пытки вторжения в свой компьютер, ведущиеся с определенного IP-адреса, можно просто закрыться брандмауэром, т.е. прибегнуть к пассивной обороне, а можно выявить координаты хакерского компьютера и попытаться пресечь его действия с помощью разнообразных мер воздействия. Последний метод отно- сится к мерам активной обороны, которые могут включать действия, позаимст- вованные у самих же хакеров. 26 Быстро и легко. Хакинг и Антихакинг Например, можно с помощью специальных утилит выявить IP-адрес нарушителя и, воспользовавшись одной из баз данных на сайтах Интернета (например, http://www.ripe.net) со сведениями о владельцах зарегистрированных IP-адресов Интернета, выявить физическое расположение хакера. Или можно отправить по выявленному IP-адресу хакера сообщение с предупреждением о последствиях, а то и предпринять более решительные меры, например, атаку DoS, имеющую це- лью остановить деятельность компьютера. Последний метод весьма эффективен в случае, когда вы стали объектом распределенной атаки DoS, с множества компьютеров-зомби на ваш компьютер отправляются пакеты, пере- гружающие линию связи и мощности процессора. Вступив в такой поединок с хакером, антихакер должен следовать правилам ве- дения боя, принятым в реальном мире, в соответствии с которыми все действия в ответ на нападение распадаются на три этапа. • Анализ ситуации. • Принятие решения. • Ответные Попробуем разобраться детальнее. Анализ ситуации Во-первых, антихакер должен научиться контролировать ситуацию и уметь оп- ределять, что на него совершено нападение. В реальном мире признаки нападе- ния очевидны - скажем, к зданию банка подъезжает несколько автомобилей, из которых выходят крутые ребята с автоматами наперевес, входят в операционный зал... ну и так далее, надеюсь, все читатели хоть бы раз, да смотрели голливуд- ские кинобоевики. Орудующие в киберпространстве хакеры, как уже говори- лось, стараются действовать скрытно и не оставлять после себя отпечатков пальцев. Квалифицированный хакер, закончив «работу», тщательно заметает все следы своей деятельности. Поэтому первая задача антихакера состоит в выявле- нии признаков вторжения в свою систему, как непосредственно во время атаки, так и после ее завершения. Перечислим признаки, по которым антихакер может определить, что система подвергается (или уже подверглась) хакингу [2]. Подозрительные события В любой компьютерной системе непрерывно происходят события, состоящие в изменении состояния ее компонентов, например, информационных ресурсов. Эти события состоят из двух частей - действия, например, чтения, записи, из- менения данных, и его адресата, например, файла, или процесса операционной |