[ Alex WebKnacKer ] Хакинг и антихакинг - защита и нападение. Книги удк 004. 056. 5Alex WebKnacKer
 Скачать 42.38 Mb.
|
|
ГЛАВА 2. Антихакинг 27 системы. Система защиты ограничивает все возможные события, которые могут произойти в системе, не допуская, к примеру, чтения закрытых данных не имеющим на то прав пользователем. Такого рода ограничения называются по- литикой безопасности, и если в системе происходят многократные события, нарушающие установленную политику безопасности, то это может быть интер- претировано как признак хакерской атаки. К числу таких признаков относятся, например, многократные попытки неудач- ной входной регистрации, или обращения к закрытому для несанкционирован- ного доступа файлу. Другой метод выявления признаков атаки состоит в обна- ружении подозрительных событий за определенный промежуток времени. На- пример, поступление множества сетевых пакетов определенного типа за корот- кий интервал времени может свидетельствовать о попытке сетевого сканирова- ния портов компьютера. Наконец, выявить подозрительные события можно, опираясь на определенные шаблоны атаки, т.е. выявленную последовательность действий хакера по взлому компьютерной системы - например, выявление сете- вых пакетов со специально искаженной структурой (зафиксированной в шаблоне) может свидетельствовать о попытках определения типа операционной системы. Неправильное исполнение Неправильное, необычное поведение системы в ответ на команды пользователя может свидетельствовать о подмене хакером подлинных процедур операцион- ной системы хакерскими. Хакер может сделать это, к примеру, с помощью упо- мянутых в Главе 1 - комплектов программ, подменяющих средства входной регистрации пользователей и другие важные процедуры системы защиты. Содержащиеся в программы могут, например, выполнять сбор паро- лей пользователя и отправку их на определенный почтовый адрес Интернета. Подробнее обсуждаются в Главе 7. и использования Как мы уже обсуждали в Главе в настоящее время хакеры активно используют базы данных уязвимостей и атак, поддерживаемые различными организациями, занятыми вопросами сетевой безопасности. При этом для выявления уязвимо- стей атакуемой системы хакеры многочисленные сканеры безопас- ности, например, приложение Retina (http://www.retina.com). Таким образом, од- ним из признаков атаки могут служить попытки сканирования компьютерной се- ти, исходящие из внешнего компьютера. сетевой Для выявления признаков атаки можно использовать некоторые параметры се- тевого трафика. Например, поступление извне в локальную сеть пакетов, у кото- рых адресом источника указан внутренний адрес локальной сети, свидетельст- вует о сетевой атаке, при которой хакер пытается обмануть систему сетевой за- 28 Быстро и легко. Хакинг и Антихакинг щиты, настроенную на отбрасывание сетевых пакетов из внешних источников (сетевой Другими подозрительными признаками атаки могут быть непонятные события перегрузки сети, или внезапное появление в сети большого числа пакетов не- больших размеров, называемых пакетами - на таком ке основаны некоторые хакерские атаки на системы, защищенные брандмауэрами. Непредвиденные параметры системы Непонятные отказы в запуске серверных служб, или внезапная перегрузка сер- верного процессора могут свидетельствовать об атаке DoS. Другой причиной перегрузки процессора может быть хакерская атака на компьютер локальной сети, при которой используется подбор паролей методом перебора. Еще один признак атаки может состоять во внезапных попытках запроса нетрадиционных служб, например, любимой всеми хакерами службы Telnet. Маниакально подоз- рительные сетевые администраторы могут даже контролировать место и время сеансов работы с сетевыми компьютерами сотрудниками организации, посколь- ку еженощные бдения за компьютером с интенсивным использованием специ- фических программ и ресурсов - это, ли, подозрительно информации Где же можно найти информацию, необходимую для выявления перечисленных выше признаков атаки? Для этого существуют специальные журналы, которые ведут программы защиты компьютерной системы. • Журналы регистрации системных событий. Например, журнал безопасности Windows 2000/XP, регистрирующий события аудита, или журнал действий пользователя, создаваемый программами компьютерной полиции, типа, на- пример, клавиатурного регистратора STARR. • Журнал сетевого трафика. Запись трафика, приходящего и исходящего из компьютера с помощью специальных программ, например, утилиты • Сообщения программы обнаружения вторжений в режиме реального време- ни. Такие программы называются системами IDS (Intrusion Detection System - Система обнаружения вторжений в режиме реального времени). Это специ- альная программа (например, популярная утилита Blacklce Defender), которая в реальном масштабе времени отслеживает сетевой трафик с целью выявле- ния признаков вторжения, руководствуясь шаблонами атак. Как правило, системы IDS также ведут журналы регистрации событий безопасности для последующего анализа пользователями. ГЛАВА 2. г 29 анализа Итак, для выявления признаков вторжения вы должны непрерывно контролиро- вать большой объем информации, содержащийся в различных журналах регист- рации, в сообщениях различных программ и в отчетах о различных событиях компьютерной системы. Более того, получив достаточные доказательства нали- чия попыток вторжения в компьютер, следует проанализировать ситуацию - ведь не каждая попытка сканирования портов компьютера означает атаку на систему. Понятие атаки включает в себя характеристику повторяемости, устой- чивости появления подозрительных событий безопасности, что может свиде- тельствовать о целенаправленном хакинге системы. Анализ признаков вторжения может быть весьма трудоемким делом, поскольку объем информации, фиксирующей все замеченные события безопасности, может быть весьма велик. Поэтому такой анализ может выполняться с помощью сле- дующих автоматизированных методов наблюдения за компьютерной системой: • Контроль целостности файлов и папок. Для этого можно воспользоваться средствами аудита Windows 2000/XP или описываемых в последующих гла- вах специальными утилитами, например, программой FileWatch контроля обращений к файлу из пакета (http://www.foundstone.com). • Контроль записи в системный реестр. Например, по записям в системном реестре можно выявить Троянского коня - программу, скрытно собирающую сведения о работе пользователя на компьютере. Для этого существует мно- жество специальных утилит, например, популярная программа TCMonitor из пакета The Cleaner (http://www.moosoft.com). • Анализ журналов регистрации. В принципе, пользователи могут и сами про- сматривать журналы безопасности Windows 2000/XP в поисках подозритель- ных событий, типа попыток подбора пароля для входной регистрации, реги- страции из необычного места в необычное время, попыток обращения к закры- тым данным. Однако имеются программы, облегчающие и автоматизирующие решение такой задачи, например, утилита RealSecure (http://www.iss.net). • Анализ сетевого трафика. Для выявления попыток сканирования, инвентари- зации, определения типа операционной системы и сетевых атак DoS следует контролировать структуру получаемых сетевых пакетов. Это можно делать либо самостоятельным анализом журналов сетевого трафика, либо прибегнуть к системе IDS, например, программе BlacklCE Defender (http://www.iss.net). • Анализ процессов. Примером такого анализа можно назвать выявление за- пущенных Троянов. Конечно, можно самостоятельно просматривать запу- щенные процессы, включая скрытые, однако это достаточно сложное дело. Для анализа запущенных процессов, в том числе, в режиме реального време- • ни, лучше всего прибегнуть к специальной утилите, типа программы TCActive из пакета The Cleaner (http://www.moosoft.com). 30 Быстро и легко. и Антихакинг • Анализ открытых портов. Слежение за открытием портов в режиме реального времени позволяет избежать многих неприятностей, и для решения такой задачи можно прибегнуть к специальным утилитам, например, программе Attacker 3.0 из пакета foundstone_tools (http://www.foundstone.com). • Обнаружение нелегальных устройств. Если в сетевой компьютер нелегально, в обход системы защиты, установить модем, то сеть превращается в проход- ной двор. Для контроля установленного оборудования можно воспользовать- ся как встроенными средствами операционной системы Windows, так и при- бегнуть к специальным утилитам инвентаризации, например, предоставляе- мым пакетом SOLARWINDS (http://www.solarwinds.com). В последующих главах книги мы обсудим работу с перечисленными выше про- граммными инструментами по мере того, как будем углубляться в методы, применяемые хакерами для вторжения в систему. Но все эти инстру- менты применяются для решения только первой задачи, стоящей перед хакером - обнаружения вторжения. Но вот вторжение налицо. Вы определили, что в системе сидит Троянский конь, и каждый день по портам компьютера стучат хакеры, пытающиеся побудить этого коня к действиям. Что же делать дальше? Принятие решения Первая реакция пользователя может быть самая разная, но чтобы не наломать дров, вначале следует выключить компьютер и подумать с целью при- нятия решения о последующих действиях. Принятие решения должно основы- ваться на реальной оценке ситуации. Следует выявить, с чем вы столкнулись - с результатом случайного вторжения, или с настоящим противником, ведущим целенаправленный поиск доступа именно к вашему компьютеру. Ведь может быть и так, что пойманного вами Троянского коня вы сами же и установили у себя на компьютере, загрузив из Интернета какую-либо программку без всякой антивирусной проверки. Или возьмем те же сетевые атаки - попробуйте, хотя бы из любопытства, установить у себя на компьютере любую утилиту IDS, напри- мер, программу BlacklCE Defender - и вы сами, удивитесь числу атак, идущих на ваш компьютер со всех сторон света. Эти атаки ведутся наугад, в на- дежде зацепить компьютер с открытыми для доступа ресурсами (а таких - большинство). Немаловажно также функциональное предназначение атакованного компьютера. Одно дело, если этот компьютер представляет собой сервер Интернета и под- соединен к локальной сети организации. Другое дело, если компь- ютер стоит у вас дома. Понятно, что методы и возможности противостояния ха- керским атакам у пользователей таких компьютеров весьма разнятся. ГЛАВА 2. Антихакинг Известно, что ныне, в связи с широким распространением до- машних компьютеров, подсоединенных к Интернету по выделен- ной линии связи 24 часа в сутки, домашние компьютеры стали притягательными для которые могут, например, ис- пользовать их для распределенных атак Таким образом, сами того не подозревая, вы можете стать причиной больших непри- ятностей у весьма влиятельных организаций. В любом случае ясно, что возможности владельцев атакованных компьютеров активно противостоять хакингу могут сильно отличаться в ту или иную сторону. А что если хакер действует с территории другого государства и, к тому же, ис- пользует прокси-сервер для прикрытия своего местопребывания? Вряд ли обыч- ный пользователь Интернета сможет предпринять ответные меры, базирующие- ся на локализации места пребывания хакера в реальном мире и привлечения его к ответу. Но вот в Посмотрим, что мы можем сделать там, где границы - вещь весьма условная. Ответные действия Как учат Боевые Уставы всех армий мира, всякая оборона может быть пассив- ной и активной. По нашей терминологии, подвергнувшись хакингу, можно либо прибегнуть к тактике сдерживания (пассивная оборона), либо можно перейти в контратаку (активная оборона). Рассмотрим эти меры поподробнее. Пассивная оборона Пассивная оборона - это наиболее широко распространенная тактика реагиро- вания на действия хакеров. Построение системы защиты в этом случае сводится к определению возможных угроз компьютерной системе и выработке соответст- вующих мер для обеспечения безопасности. Если эти меры относятся к большой организации, они называются политикой безопасности. Для создания пассивной обороны создано множество технологий, применение которых обусловлено характером угроз компьютерной системе и прочими факторами, включая финансовые [2]. Ранее, в Главе 1, указывалось, что хакеры могут вторгаться в компьютерную систему многими путями - с помощью локального доступа, через Интернет, че- рез локальную сеть или через телефонную линию связи. Все эти угрозы должны быть оценены, и система защиты должна предусматривать все варианты про- никновения. Конечно, защита большой корпоративной сети, связывающей мно- жество компьютеров, строится иначе, чем защита домашнего компьютера или небольшой офисной сети. Однако во всех случаях для создания системы защиты могут быть применены следующие методы, доступные большинству обычных пользователей: 32 Быстро и легко. Хакинг и Антихакинг • Контроль физического доступа. Общее мнение специалистов по хакингу таково [3,4] - получив локальный доступ к компьютеру, взломщик сможет сделать с ним все, т.е. рано или поздно, но все системы защиты компьютера будут взломаны. Так что не стоит бросать компьютер, даже на краткое время, не обеспечив функционирование входной защиты, например, с помощью за- ставки с паролем, предоставляемой системами Windows 2000/XP. Наиболее же ценное оборудование должно находиться под замком, что в особенности касается сетевых серверов. При наличии особых обстоятельств (высокая сек- ретность информации, параноидальные наклонности системного администра- тора) следует рассмотреть более сложные меры физической безопасности, включая защиту от прослушивания электромагнитного излучения. В этой книге меры физической безопасности не рассматриваются, но в любом случае учтите, что без них все системы защиты, основанные на компьютерных тех- нологиях, ровным счетом ничего не стоят. • Настройка системы защиты операционной системы. Системы Windows снабжены мощными средствами защиты, которые должны быть использованы в первую очередь. Защита Windows 2000/XP снабжена всеми тремя компонен- тами обеспечения безопасности, называемыми методами «ЗА» - аутентифи- кация, авторизация, аудит - которые применимы для защиты от вторжений как в локальный компьютер, так и в сеть компьютеров Windows [6]. Мы обсудим возможности системы защиты Windows в Главе 4. • Криптографическая защита. Важные данные следует шифровать. Это относит- ся к файлам и папкам сообщениям электронной почты и информации, передаваемой по сети. Для шифрования можно применить множество утилит, например, пакет PGP Desktop Security (http://www.pgp.com), или средства шифрования файловой системы NTFS. Даже слабое шифрование, предлагаемое программами-архиваторами типа WinRAR, все же лучше, чем оставление важ- ных файлов без всякой защиты. Для защиты сетевых коммуникаций следует применять технологии VPN (Virtual Private Network - Виртуальные защищен- ные сети), шифрующие пересылаемую между компьютерами информацию. • Брандмауэры и системы IDS. Подключение к Интернету без брандмауэра ны- не приравнивается к самоубийству. В систему Windows XP даже включен брандмауэр, защищающий подключения к Интернету. Контролировать внеш- ний доступ к корпоративной сети можно с помощью брандмауэров, напри- мер, WinRouter, со специально настроенными параметрами доступа, или с помощью системы IDS, например, BlacklCE Defender, анализирующей вход- ной трафик в режиме реального времени. Также для защиты можно исполь- зовать утилиту, отслеживающую сетевые подключения и открытые порты компьютера в режиме реального времени, например, Attacker 3.0 из пакета (http://www.foundstone.com). • Сканеры безопасности. Как говорит пословица, «готовь сани летом» - лучше заранее проверить устойчивость системы к сетевым атакам, чем ждать, пока это сделает какой-то там «кул хацкер». Эту проверку можно выполнить с по- ГЛАВА 2. Антихакинг мощью специальных программ, сканирующих компьютер для выявления его уязвимостеи к различным атакам в зависимости от настроек системы защиты. Примером такого сканера является уже упомянутое приложение Retina. • Контроль целостности. Мы уже говорили о контроле целостности примени- тельно к задаче выявления признаков вторжения. Периодическая проверка це- лостности исполняемых файлов - весьма действенный метод защиты. Поэтому системы Windows предоставляют средства для проверки целостности файлов операционной системы, которыми не грех и воспользоваться, или же можно прибегнуть с этой целью к программам сторонних производителей. • Антивирусы. Чтобы выявить попадание вирусов в компьютер, можно воспользоваться универсальной антивирусной программой, например, Norton Antivirus, MacAfee или утилитой The Cleaner, эффективно отслежи- вающей Троянов. оборона В принципе, вышеперечисленные программные средства пассивной обороны, будучи правильно настроены, вполне способны отразить какую угодно хакер- атаку. Когда корпорация Microsoft создала свою систему Windows 2000, всем хакерам мира был брошен вызов - им было предложено попытаться взло- мать сервер на базе системы Windows 2000. В результате ни одна атака не была признана вполне успешной - возможно, по той причине, что хакеры еще не на- брались опыта работы с тогда еще новой и неизвестной им системой. Таким образом, что бы там не говорили и не писали (например, в выпусках жур- нала «Хакер»), система защиты - это весьма надежная вещь (другое дело, что, как правило, ее средства не используются в полной мере). Дополните средства Windows мощной антивирусной программой Norton Antivirus компании Symantec, системой IDS в лице программы BlacklCE Defender - и вы сможете без особой опаски гулять по виртуальному миру киберпространства, не забираясь, однако, в самые темные уголки. Так что пассивная оборона - это то, с чего следует начать, поскольку довольно смешно выхватывать из кобуры (или где вы там его носите) свой верный парабеллум, и начинать пальбу при малей- ших признаках нападения, подвергая себя риску быть зачисленным в список на- рушителей спокойствия киберпространства. Однако бывают случаи иного рода, когда вы становитесь объектом целенаправлен- ного хакинга со стороны разного рода личностей, включая своих сотрудников. Вот тут-то и могут пригодиться кое-какие методы активной обороны, и в набор ответ- ных действий антихакинга должны быть включены любые методы, которые по- зволят эффективно устранить возникшую угрозу, в том числе всякие хакерские штучки. Ниже перечислены некоторые, но не все, меры активной обороны. • Локализация хакерского компьютера. Например, в случае сетевой атаки можно с помощью программ IDS анализа сетевого трафика в режиме 34 Быстро и легко. Хакинг и ного времени выявить IP-адрес хакерского компьютера. Или же, став объек- том спамминга, можно попытаться выявить адрес почтового сервера отпра- вителя и попробовать договориться со спаммером на понятном ему языке. Вариантов действий тут предостаточно - например, любителям потрошить чужие Web-сайты можно уже при загрузке главной страницы сайта сообщать IP-адрес посетителя (выявив его с помощью сценария) и предупреждать о не- допустимости всяких шуточек (кое-где эта мера уже реализована). Ну и так далее, по мере изложения материала книги мы будем уточнять возможные применения хакерских инструментов для целей антихакинга. • Сбор сведений о хакере. Локализовав хакерский компьютер в виртуальном мире, можно, подобно тому, как это делают хакеры, по IP-адресу выявить расположение хакерского компьютера в реальном мире, например, с помо- щью активно используемых хакерами для поиска своих жертв. Эти серверы (например, компании RIPE NCC по адресу http://www.ripe.net) предоставляют обширную информацию о владельцах за- регистрированных Интернета, включая адреса и телефоны про- вайдеров Интернета. Так что, установив провайдера Интернета своего обид- чика, в принципе не безнадежно попытаться убедить его ограничить деятель- ность клиента его сервера от посягательств на вашу личность. Ведь действия хакера зафиксированы в регистрационных базах данных серверов ISP и даже базах прокси-серверов, которые служат для хакерских атак. Этот путь открыт даже для владельцев домашних компьютеров. Кстати, эффек- тивность таких мер защиты косвенно подтверждает тот факт, что, судя по не- которым публикациям (см., например, сами хакеры не прочь потрепать людям нервы, рассылая провайдерам Интернета письма со всякими клевет- ническими измышлениями о своих жертвах (например, обвиняя их в спам- минге). Есть и другие методы, и мы опять-таки будем обращать на них вни- мание антихакера при обсуждении средств хакинга компьютерных систем. • Активные действия. Вообще-то методы антихакинга из предыдущего пункта - это уже активные действия, но в данном случае имеется в виду атака в штыки - если вам ужасно надоел какой-то «кул настойчиво стучащий по входным портам вашего компьютера, забрасывающий ваш почтовый ящик письмами с вирусными вложениями и так далее и тому подобное, и на кото- рого не действуют никакие предупреждения и уговоры, можно выскочить из окопа и дать очередь по врагу, послав в его направлении лавину пакетов, применяемых, например, для атаки DoS. Если вам повезет, то компьютер ха- кера может и замолчать. Для такой атаки применимы, например, утилит DDoSPing или Flood из пакета специально предназна- ченные для борьбы с компьютерами-зомби, используемыми для распреде- ленных атак DoS, чаще всего, без ведома хозяев. Или же сами зашлите спам- меру в ответ сотню-другую писем, воспользовавшись одним из мэйлбомбе- ров, описанных в Главе 10. Имеются и другие методы активных действий, которые мы опишем по мере изучения средств хакинга. |