LINEBURG


<< Пред. стр.

страница 17
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>



уменьшению этих рисков. Они делегировали вопросы безопасности, устранив должност­
ных лиц, директоров и высшее руководство из процесса принятия решений. Как ранее
заметил юрист Дэн Лэнджин, исходя из «принципа благоразумия», должностные лица
и директоры не могут полностью делегировать свои обязанности по обеспечению ин­
формационной безопасности. Недостаточно просто заявить: «У меня есть отдел, который
заботится об обеспечении безопасности».
Угрозы возрастают, и атаки становятся более изощренными. Действия против известных и
неизвестных угроз требуют большего, чем благие намерения руководства, - они требуют
решимости, финансирования, активности и людей, которые бы понимали, что такое безо­
пасность, и принимали правильные решения.
Многие виды денежного вознаграждения руководителей связываются с выполнением ими
деловых инициатив и достижением ими корпоративных целей. Добейтесь, чтобы в вашей
компании обеспечение безопасности стало одной из корпоративных целей. Выясните, что
могут сделать для повышения безопасности отраслевые стандарты и как они должны вне­
дряться в вашу среду. Используйте рычаги деловых инициатив, включив в них с самого
начала вопросы безопасности, и не делегируйте обязанности по обеспечению безопасно­
сти. Мы на войне - враг уже у ворот вашей сети. Не стойте на месте, иначе вам придется
участвовать в каком-либо запутанном судебном процессе из-за того, что ваше руководство
не приняло достаточных мер по защите вашей компании или не принимало их вообще.
Глава 1 2
Прогулка хакера по сети

Просить сетевого администратора обеспечить безопасность сети, когда он не
имеет возможности контролировать ее работу, - это то же самое, как про­
сить механика починить двигатель, не открывая капот машины.

Маркус Ранум, основатель Network Flight Recorder

Представьте себе, что вы в составе совета директоров замечательной компании, входящей
в список Fortune 500. (Неплохая мечта, не так ли?) Утром в понедельник вы зашли в люби­
мое кафе и приступили к просмотру утренних газет, наслаждаясь первой на этой неделе
чашкой ароматного кофе. Но подождите. Читая приятную заметку, предлагающую провес­
ти отпуск на французской Ривьере, вы видите броский заголовок: «Фирма из Fortune 500
разорена хакером!» Увы, это не какая-то другая фирма из Fortune 500, а именно ваша!
Статья сообщает, что ваша компания была вынуждена отключить свою интранет от внеш­
него доступа в попытке прекратить вредительство хакера в отношении продуктов нового
ряда. Еще пять минут назад вы неторопливо подсчитывали в уме, сколько вам нужно про­
дать ваших акций, чтобы обеспечить себе веселый отпуск. Теперь вам приходится думать
о том, на сколько ваши акции упадут в цене (не сомневаясь в этом!) после того, как лидеры
рынка закончат просматривать заголовки газет. Более того, вы опасаетесь, не были ли
украдены или уничтожены программы для продуктов нового ряда. Переживет ли это ком­
пания? А может быть, вам придется провести этот отпуск, обновляя свое резюме?
Звучит немного неправдоподобно? Вовсе нет. Информационные системы непрерывно
кто-то атакует. Вторгаются внутренние пользователи и внешние пользователи, вторгаются
конкуренты, террористы - можно встретить кого угодно. Подобное же разнообразие на­
блюдается и в механизмах атак. В исследовании CSI в 2002 году было обнаружено, что це­
лями атак могут быть «отказ от обслуживания», имитация законных пользователей (spoof­
ing), информационное вредительство и кража информации. Компании подвергаются напа­
дению со всех сторон: внешние нарушители, внутренние нарушители и несколько проме­
жуточных типов нарушителей: бывшие консультанты, обиженные служащие и т. д.
Для вас занятно знакомиться со статистическими данными, потому что они всегда касают­
ся проблем, возникающих в чужих сетях. Однако и ваша сеть уязвима ничуть не меньше.
Если в вашей сети нет надлежащих механизмов предотвращения и обнаружения взлома
и контроля систем, то вполне вероятно, что вы уже сейчас подвергаетесь атаке и не знаете
об этом.
Я добавила к книге эту главу для того, чтобы показать, какому риску подвергается ин­
формация после того, как хакер вошел только в одну систему сети компании. В главе не го­
ворится о том, как производится сам взлом компьютерных систем. К сожалению, уже су­
ществует более чем достаточно источников, из которых можно эту информацию получить.
В главе показано, как хакер проходит по сети в поиске информации после того, как он уже
зашел в сеть. Также показано, как он находит доступ к другим системам и как собирает
пароли.
143
Прогулка хакера по сети


Краткая характеристика хакеров
Многие люди все еще имеют странные представления о хакерах. Типичный хакер, по их мне­
нию, - это молодой, необычайно яркий и патологически асоциальный мужчина. Часто он
одержим манией - работает всю ночь над своими новейшими блестящими инструментами.
Кончено, чтобы подчеркнуть его одержимость, к этому добавляют непрерывное курение, пи­
тание всухомятку и поддержание сил сомнительными медицинскими препаратами.
Вернитесь в действительность! Подлинный хакер, скорее всего, окажется разочаровав­
шимся бухгалтером, мелким бюрократом или недавно уволенным оператором ввода дан­
ных. Несмотря на наличие у него технических познаний, его, возможно, выгнали из сред­
ней школы. В противоположность распространенному мифу о его яркой личности прав­
дой является то, что стать хакером не так уж трудно. Мы все наслышаны о детях, взламы­
вавших компьютеры в 1970-х годах. Но кто слышал о том, что кто-то из них поступил
в Гарвард или Массачусетский технологический институт?
Кстати, мы забыли об ужасно обиженных программистах, борющихся с огромной неспра­
ведливостью внутри компании. Этот голливудский образ хакера порядком надоел и имеет
мало общего с реальностью. Часто реальная жизнь оказывается не такой захватывающей.

Реальные хакеры
Теперь, когда вы знаете, как не должен выглядеть хакер, вам должно быть любопытно, как
он должен выглядеть. На самом деле большинство хакеров выглядит совсем как вы или
я или женщина из соседнего офиса.
Только для краткого знакомства рассмотрим наиболее распространенные типы хакеров.

Неуловимый хакер № 1: Рассерженный сотрудник
Такого хакера трудно поймать, и такой тип наиболее распространен. Возможно, он работал
в вашей компании недолго, а может быть, и несколько лет. Также вероятно, что его недавно
уволили или понизили в должности. Его техническая квалификация может колебаться от про­
стого ввода данных до системного анализа. Он мог оставить «черный ход» в систему, с ко­
торой недавно работал. Или же он просто имеет легкий доступ к вашей сети из-за того, что
его работа заключалась в обновлении и поддержке информации ограниченного пользования.
В любом случае у вас, возможно, не будет никаких причин его подозревать.

Неуловимый хакер № 2: Промышленный шпион
В отличие от голливудского образа, большинство шпионов не выглядят в действительности
как Джеймс Бонд. Скорее всего, они похожи на бухгалтера, работающего у вашего отца, или
на президента вашей местной торговой палаты. Хакер этого типа имеет глубочайшие позна­
ния в вашей отрасли. Он может работать на конкурирующую компанию - или даже на кон­
курирующую страну. (Многие промышленные шпионы работают с молчаливого одобрения
своих правительств. Некоторые из них даже находятся на службе у таких правительств.)
Он может также быть одним из ваших сотрудников, замышляющим «пересесть на другой
корабль» или ожидающим массового увольнения. Может быть, он за счет этого пытается
«поднять свою рыночную цену» перед тем, как перейти на эту призрачную должность.

Неуловимый хакер № 3: Одинокий «социопат»
Таких не так уж много. Такой тип хакера наиболее близок к вашим представлениям.
Он молод, ярок и, вероятнее всего, является либо студентом, либо недавним выпускни­
ком, еще не нашедшим направления своей деятельности. Однако на такого хакера вы,
скорее всего, не наткнетесь в потемках вашей базы данных.
Прогулка с хакером
144

Неуловимый хакер № 4: «Хактивист»
Это новейшая и наиболее пугающая категория компьютерных преступников. «Хактивист»
считает себя политическим деятелем, реформатором и даже воином. Некоторые доходят до
того, что приравнивают себя к террористическим группам и берут клички «кибер-джихад»,
«Джи-Форс Пакистан» и «Доктор Нукер» (cyber-jihad, G-Force Pakistan, Doktor Nuker). Дру­
гие преследуют необычные политические цели, используя логику не менее бестолковую
и запутанную, чем у «Унабомбера» , Более часто в такую категорию попадает молодой че­
ловек, имеющий тесные связи с политически нестабильными регионами, например с Ближ­
ним Востоком или Восточной Европой. В основном являясь яркими личностями, многие из
таких хакеров действительно обучились компьютерному искусству в Соединенных Штатах.
Некоторые могли здесь и остаться, днем поддерживая корпоративные сети, а по ночам ата­
куя политические цели. Атаки «хактивистов» простираются от причинения беспокойства
объектам атаки посредством искажения внешнего вида веб-сайтов до прямого экономиче­
ского вредительства.
Очевидно, в такую категорию входят как разочаровавшиеся идеалисты, так и религиозные
фанатики. «Хактивизм» тем не менее не может сводиться к ограниченному кругу подозре­
ваемых. «Хактивистами» могут стать экстремисты любых мастей. Сюда могут входить ра­
дикально настроенные защитники прав животных и экстремисты среди защитников
природы. Возможности есть у каждого, кто имеет политическую программу и доступ
в сеть. Действительно, наибольшая угроза может исходить от изгоев (таких, как «Унабом-
бер») с целями, важными только для себя, для страны или террористической организации.

О применяемых инструментах
Теперь, когда вы знаете, на кого в действительности похож хакер (на любого из нас!), вы,
вероятно, размышляете о том, какую подготовку надо иметь для такой трудной работы.
К сожалению, небольшую.
Хакеры используют различные инструменты для взлома систем и скрытия своих следов,
чтобы избежать обнаружения. Миф об исключительности хакеров, несомненно, возник
из-за того, что инструменты их ремесла являются действительно выдающимися шедевра­
ми программирования. Однако немногие хакеры сами пишут программы для используе­
мых ими инструментов. Большинство из них являются рядовыми солдатами, просто со­
бирающими необходимые им инструменты из открытых источников. Насколько откры­
тых? Непродолжительная прогулка по Интернету покажет вам, как легко можно получить
многие из хакерских инструментов. А теперь добавьте к этому все то, что можно получить
в подпольной среде. Все, что для этого нужно, - это «зарегистрироваться» в хакерской
электронной доске объявлений и получить доступ к другим хакерам, и вас будут постоян­
но снабжать новейшими и превосходными инструментами для поиска и кражи информа­
ции. Это похоже на клуб - один хакер передает найденный им инструмент другому хакеру,
который передает его еще одному хакеру, и т. д. И чем больше инструментов имеет хакер,
тем легче ему будет взломать вашу систему.

Прогулка с хакером
Остальная часть этой главы покажет вам, что будет делать хакер после того, как он окажет­
ся в зашей сети. Это реальная расшифровка действительно произошедшего взлома. В дан­
ном случае эксперт по безопасности подвергшейся нападению компании обнаружил
вторжение и записал каждое нажатие клавиши,
1. Unabomber («Университетский бомбер») - университетский неудачник, терроризировал американское население,
посылая взрывающиеся письма, -- Примеч. пер.
Прогулка хакера по сети 145

В ходе этой прогулки помните, что хакер искал информацию и доступ к другим системам
для получения еще большего количества информации. Компании, о которой идет речь, по­
везло по двум причинам. Во-первых, они обнаружили хакера сразу после начала атаки.
Во-вторых, им невероятно повезло в том, что хакер просто «разглядывал витрины» и не
оставил за собой каких-либо разрушений.
Идя за хакером, также помните, что он может в следующей своей прогулке забрести и в вашу
округу...

Что делал хакер...
Строка № 1
Когда этот хакер взломал систему в декабре, он использовал гостевую учетную запись,
созданную без пароля. После того как он взломал систему, он добавил свой собственный
пароль к гостевой учетной записи и учетной записи, названной "ingres", после чего он мог
2
легко получать доступ с регистрацией в любое удобное время .
Строка № 2
Команда "who" проверяет и показывает, нет ли кого еще в системе. Наш друг не хочет, что­
бы кто-либо в системе его заметил.
Строка № 5
Эта строка копирует коммуникационную программу, названную "kermit", в текущий
рабочий каталог хакера. После этого он может использовать kermit для пересылки инстру­
ментов для работы с защитой, которые он будет применять для получения доступа к сис­
темам и информации. Заметьте, что большинство хакеров пересылают свои собственные
инструменты для работы с защитой, чтобы упростить себе работу. Некоторые хакеры
слишком мало знают об операционных системах и просто используют инструменты, напи­
санные людьми, которые в этом действительно разбираются.
Строки с № 6 по № 25
Теперь хакер использует известную программную ошибку для получения прав суперполь­
зователя по доступу к системе. (Хакер пишет несколько строк программы для переполне­
ния буфера в rdist и затем засылает команды в rdist, которые исполняются.) Если бы в сис­
тему были установлены правильные патчи, то это не было возможным!

I valley% sh
2$ who
3 ingres ttypO Jan 18 23:02
4 root ttyp2 Jan 15 18:38 (canyon)
5 $ cp /home2/jeff/bin/kermit,orig kermit
6 $ kermit
7 C-Kermit 5A(178) ALPHA, 29 Jan 92, SUNOS 4.1 (BSD)
8 Type ? or HELP for help
9 C-Kermit>rece fi
10 Escape back to your local Kermit and give a SEND command...
11 # N3

2. Из листинга видно, что данный взлом происходит уже после декабрьского - в январе . - Примеч. пер.
146 Что делал хакер...


120Yz*@-#Y1-N!y-13
%!YfiO
14#"Y@
15##YA
16#$YB
17#%YC
18#&YD
19C-Kermit>
20 Stopped
21 valley% sh
22 Stopped (signal)
23 valley% sh
24 переполняет буфер (удалено из соображений безопасности)
25 $ /tmp/sh


Строки с № 26 по № 27
Хакер теперь имеет права доступа суперпользователя (root). Он уже внутри! Он устанав­
ливает режим и разрешения и изменяет имя на нечто такое, что он, вероятно, не забудет.
Заметьте, что он удаляет файл /tmp/sh, так как не хочет оставлять какого-либо следа своего
визита.
Строка № 28
Он ошибается в написании команды.
Строки с № 29 по № 45
Он выдает команду ls (list) с параметром -t (time), определяющим формирование списка
файлов каталога с новейшими файлами в начале списка. Выдается список файлов.
Строки с № 46 по № 48
Просто еще одна проверка на отсутствие в системе кого-либо. Большинство хакеров про­
должают проверять систему на наличие в ней других регистрации на протяжении всей
атаки.
Строка № 49
Здесь он использует команду grep для поиска строки "est". (Параметр -i говорит UNIX, что
допустимы символы как верхнего, так и нижнего регистров.) Предположительно, хакер
ищет наличие других регистрации в системе из домена DNS ".West". (Если вы не знакомы
с UNIX, то "grep" - это общая команда, расшифровывающаяся как Grab Regular Expres­
sion. В основном grep используется для поиска в системе конкретной строки, имеющейся
в файлах этой системы.)

26 # rm /tmp/sh
27 rm: override protection 755 for /tmp/sh? у
28 # Isll
29 # Is -tal
30 total 1049
31 drwxr-xr-x4 ingres 512 Jan 18 23:04.
147
Прогулка хакера по сети


32 -rwsrwsrwx 1 root 24576 Jan 18 23:04 suck
33 -rw-r--r--1 root 61 Jan 18 23:04 c.c
34 -rwxr-xr-x 1 ingres 442368 Jan 18 23:03 kermit
35 -rwxrwxrwx 1 ingres 360448 Jan 16 11:02 testit
36 drwxr-xr-x 30 root 1024 Dec 18 20:27..
37 -rw-r-r--1 ingres 1148 Jun 9 1992 foo
38 drwxrwsrwx 6 ingres 6144 Aug 23 1991 SERVICE
39 -rwxr-xr-x 1 ingres 106496 Feb 25 1991 sun4Jookup
40 -rwxr-xr-x 1 ingres 98304 Feb 25 1991 sun3_lookup
41 drwxr-xr-x 3 ingres 512 Jan 23 1991 quoter
42 -rw-r-r--1 ingres 306 Nov 20 1987 .cshrc
43 -rw-r-r- 1 ingres 1159 Nov 20 1987 .install
44 -Г--Г--Г--1 ingres 20 Nov 20 1987 .version
45 -rw-r--r- 1 ingres 36 Jan 26 1987 .oemstring
46 # who
47 ingres ttypO Jan 18 23:02
48 root ttyp2 Jan 15 18:38 (canyon)
49 # last | grep -i est
Строки с №50 по 57


Теперь он ищет что-то конкретное - "lorin". Очевидно, "lorin" не входил в систему с того
времени, как хакер в последний раз взломал систему и удалил файл с учетными записями
(16 января). Хакер пытается найти "lorin" в /etc/passwd с помощью команды grep, но оши­
бается при наборе команды. Затем он вспоминает, что именем пользователя, о котором он
думает, является "lorimo", а не "lorin". Это значит, что наш парень побывал здесь раньше.
Строки с № 58 по 61
Взломщик редактирует программу С, чтобы изменить ID пользователя на 21477. Эта но­
вая настройка позволяет ему переключить пользователя на "lorimo".
Строки с № 62 по № 66
Еще больше опечаток. Этому парню надо пойти на курсы для машинисток.
Строки с № 67 по № 75
Здесь хакер компилирует новую версию своего исполняемого кода, дает результату (a.out)
другое имя, которое он не забудет (у него превосходный словарь). Исполнив два из своих
рабочих скриптов, он изменяет свой ID пользователя.


50 # last lorin
51 wtmp begins Sat Jan 16 11:37
52 # grep lor /etc/passwwd
53 grep: /etc/passwwd: No such file or directory
54 # grep lor /etc/passwd
55 # ypcat passwd | grep lor
56 lori:N.4Pgz4iUS8kk:5734:50:Lori:/home/lori:/bin/csh
57 lorimo:xxTTF8y3fSqGo:21477:50:Lori:/home/lorimo:/bin/csh
Что делал хакер...
148

58 # ed с.с
59/uid/
60 setuid(0);
61 setuid(21477);
62 # сс .сс
63 сс: Warning: File with unknown suffix (.cc) passed to Id
64 Id: .cc: No such file or directory
65 # cc "c
66>"C
67 # cc c.c
68 # mv a.out shit
69 # chmod 6777 shit
70 # ./suck
71 # id
72 uid=0(root) gid=0(wheel) groups=7
73 # ./shit
74$ id
75 uid=21477(lorimo) gid=0(wheel) groups=7



Строки с № 76 по № 88
Теперь он ищет, куда еще можно пойти, посылая команды rlogin в другие системы и опре­
деляя те из них, которые бы доверяли lorimo (файлы .rhosts и /etc/hosts.equiv используют­
ся для установления доверия между системами). Если lorimo доверяют другие системы, то
хакеру будет предоставлен доступ к этим системам без ввода пароля. Это называется
«барабанить в двери» ("door rattling"). Если ему повезет, то он получит доступ к еще боль­
шему объему информации и создаст места для запуска будущих атак изнутри.
Строка № 89
Хакер сменил свою авторизацию обратно на суперпользователя (root).
Строки с № 90 по № 92
Он снова оглядывается (отсюда и команда "who"), затем проводит двойной контроль пра­
вильности полученной информации ID пользователя.
Строки с № 93 по № 94
Хакер ищет lorimo в таблице паролей сетевой информационной службы NIS.
Строка № 95
Хакер переходит в каталог /home.

76 $ rlogin tsunami
77 Password:
78 Login incorrect
79 Login incorrect
80 login: AD
81 Connection closed.
149
Прогулка хакера по сети

82 $ rlogjn suntzu
83 rlogjn: not found
84 $ rlogin suntzu
85 Password:
86 Login incorrect
87 login: D
88 Connection closed.
89 $"D
90 «who
91 ingres ttyp0 Jan 18 23:02
92 root ttyp2 Jan 15 18:38 (canyon)
93 # ypcat passwd | grep lorimo
94 lorimo:xxYTF8y3fSqGo:21477:50:Lori :/home/lorimo:/bin/csh
95 # cd /home



Строка № 96
Хакер начинает подготовительную работу по поиску файлов .rhost, имеющихся в /home.
Смысл такого поиска состоит в том, что некоторые люди, использующие файл .rhost (для
установки доверия), могут иметь много записей в .rhost по всей сети. После запуска этой
задачи он пошел дальше.
Строки с № 97 по № 98
Хакер продолжает делать опечатки.
Строки с № 99 по № 100
Нашему другу надоело быть lorimo. Он проверяет файл паролей на наличие jeff. Он реша­
ет выдать себя за jeff. Но вначале он должен отредактировать свой код.
Строки с № 101 по № ИЗ
Он пытается редактировать свой код, но он не в том каталоге. Он переходит в правильный
каталог, редактирует код, исполняет код и становится пользователем jeff.
Строки с № 114 по № 119
Став jeff хакер сделал правильный выбор. Он вошел в новую систему (tsunami), даже не
пользуясь паролем. (Это отличный пример того, как опасно устанавливать доверительные
отношения между системами.)

96 # find. -name .rhosts -print &
97 # gupr
98 # grep"C
99 # ypcat passwd | grep jeff
100 jeff:wW/q0t03L6xO.:13147:50:Jeff :/home/jeff:/bin/csh

<< Пред. стр.

страница 17
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign