LINEBURG


<< Пред. стр.

страница 19
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

358 richp ttyhl Mon Oct 5 13:54 - 13:58 (00:03)
359 richp ttyp3 vela Mon Oct 5 09:43 - 09:44 (00:00)
360 richp ttyhl Wed Sep 30 17:57 - 17:57 (00:00)
361 richp ttyp2 velaTue Sep 29 14:31 -14:32 (00:00)
362 richp ttyhl Thu Sep 24 13:48 - 13:51 (00:02)
363 richp ttypl valley Wed Sep 23 19:47 -19:48 (00:00)
364 richp ttyhl Wed Sep 23 13:28 - 13:48 (00:20)
365 richp ttyhl Mon Sep 21 11:27 - 11:29 (00:02)
366 richp ttyp6 vela Fri Sep 4 09:15 - 09:16 (00:01)
367 richp ttyp5 vela Thu Sep 3 12:31 -13:00(00:28)
368 richp ttyp5 vela Thu Sep 3 12:11 -12:11 (00:00)
369 richp ttyp5 vela Thu Sep 3 11:42 -11:43 (00:00)
370 richp ttyp5 vela Thu Sep 3 10:01 -10:04(00:02)
371 wtmp begins Wed Jul 1 18:46
372 # last Iwake
373 Iwake ttyp2 runcible Tue Dec 1 15:00 - 15:06 (00:06)
374 Iwake ttyp3 runcible Wed Sep 30 13:01 - 13:15(00:13)
375 Iwake ttyp2 runcible Tue Sep 22 09:12 - 09:14 (00:02)
376 Iwake ttyp2 runcible Fri Jul 24 14:40 -14:40 (00:00)
377 Iwake ttyp4 runcible Fri Jul 17 09:13 - 09:14 (00:00)
378 Iwake ttyp4 runcible Fri Jul 17 09:12 - 09:13 (00:00)
379 Iwake ttyp2 runcible Mon Jul 13 16:56 -17:02 (00:05)
380 wtmp begins Wed Jul 1 18:46
381 # last eggers
382 eggers ttypO sunkist Thu Jan 7 06:40 - 06:40 (00:00)
383 eggers ttyhl Mon Nov 16 16:41 -16:42 (00:00)
384 eggers ttypl bike Mon Nov 16 16:37 -16:41 (00:03)
385 eggers ttypl bike Thu Nov 12 18:35 -18:39 (00:03)
386 eggers ftp bike Wed Oct 7 12:58 -13:03 (00:05)
387 eggers ttyp8 bike Wed Oct 7 12:53 -13:03 (00:10)
388 eggers ttypl bike Tue Oct 6 14:14-15:27(01:13)
389 eggers ttypl bike Wed Sep 23 16:25 -16:30 (00:05)
390 eggers ttypl bike Tue Sep 15 20:34 - 20:36 (00:01)
159
Прогулка хакера по сети


391 eggersttyhl Fri Sep 11 18:39-18:39(00:00)
392eggersttyh1 Fri Sep 11 18:11 • 18:21 (00:10)
393 eggersttyhl Fri Sep 11 17:52-18:01 (00:08)



Строки с № 394 по № 426
В этом месте наш друг уже был готов уйти. Но перед этим он установил новые пароли в
использованные им неактивные («спящие») учетные записи. Этот шаг сделает его сле­
дующий взлом более легким. (По этой причине вы должны всегда устанавливать новые
пароли после взлома!)

Строки с № 427 по № 431
Для одного дня достаточно. Наш непрошеный гость замел свои следы (не показано из со­
ображений безопасности) и закрыл сессию.

394 # passwd ericc
395 Changing password for ericc on suntzu.
396 New password:
397 Retype new password:
398 # grep lori /etc/passwd
399 lori:FAJEq1YKw4p7.,0:5734:50:Lori:/home/guest/lori:/bin/csh
400 # pwd
401 /tmp_mnt/home/se/wendy
402 # cd /home/guests
403 /home/guests: bad directory
404 # cd /home/guest
405 # Is -tal lori
406 total 10
407 drwxr-xr-x 52 root 1024 Sep 12 14:25 ..
408 drwxr-xr-x 3 lori 512 Aug 9 18:46.
409 -rw-r-r- 1 lori 1262 Aug 9 18:46 .M23set,v1.1
410 drwxr-xr-x 2 lori 512 Aug 8 17:45 .dist
411 -rw-r--r- 1 lori 1457Jun 7 1991 .login
412 -rw-r-r- 1 lori 2687 Jun 7 1991 .cshrc
413 # last lori
414 wtmp begins Wed Jul 1 18:46
415 # passwd ericc
416 Changing password for ericc on suntzu
417 New password:
418 Retype new password:
419 # passwd lori
420 Changing password for lori on suntzu
421 New password:
422 Retype new password:
423 # passwd jeff
424 Changing password for jeff on suntzu
160 Заключение

425 New password:
426 Retype new password:
427 # л D
428 $ л 0
429valley%"D
430 There are stopped jobs
431 valley% logout


Заключение
Действительно, пугает в этом взломе то, что нарушитель никогда не будет пойман. Из мое­
го большого опыта я знаю, что он, скорее всего, сейчас где-то неподалеку, «барабанит в
двери» и устанавливает новые пароли в «спящие» (неактивные) учетные записи в других
сетях.
Этот пример взлома дает нам многое для того, чтобы избежать вторжений. Из него можно
извлечь следующие уроки:
• Каждая учетная запись должна иметь пароль (см. строку № 1).
• Следует избегать создания «гостевых» учетных записей (см. также строку Ш 1).
• Патчи, повышающие безопасность должны устанавливаться на каждую машину
в сети (см. строки с № 6 по № 23).
• Нужно с осторожностью устанавливать доверие между системами (см. строки
с № 105 по № 119, с № 264 по № 270 и с № 282 по № 287).
• Необходимо регулярно удалять «спящие» учетные записи. Хакеры часто ищут
«спящие» учетные записи, так как никто, скорее всего, не заметит, как кто-то ис­
пользует его учетную запись (см. строки с № 320 по № 393),
• Всегда нужно устанавливать новые пароли после успешного взлома (см. строки
с № 394 по № 426).
Приложение А
Люди и продукты, о которых следует
1
знать





Создание и поддержка безопасной сетевой среды требуют определенных затрат времени.
В этом приложении содержится информация об организациях и ресурсах, связанных
с обеспечением безопасности, базах данных об уязвимых местах, о псевдонимах почтовой
рассылки, получении правовой поддержки, бесплатных продуктах и поставщиках средств
защиты. Поддерживать защиту сетей нелегко - вы должны знать, с какими людьми сотруд­
ничать и какие продукты покупать.

Организации, связанные с обеспечением безопасности
American Society for Industrial Security (ASIS)
Американское общество по промышленной безопасности является профессиональной
организацией для менеджеров, работающих в области безопасности. Она издает ежеме­
сячный журнал, посвященный вопросам безопасности и управлению в страховых случа­
ях. AS1S также является спонсором совещаний по вопросам безопасности и другой дея­
тельности.

CERT
Группа реагирования на чрезвычайные ситуации (Computer Emergency Response Team)
содействует получению знаний в области безопасности, обеспечивает круглосуточную
техническую помощь при инцидентах, связанных с безопасностью компьютеров и сетей,
и предлагает обучение по вопросам безопасности и другие услуги в данной области.
CERT размещается в Software Engineering Institute, Carnegie Mellon University (CMU),
в г. Питтсбург, шт. Пенсильвания (Pittsburgh, PA).
Телефон круглосуточной горячей линии: 412-268-7090.
www.cert.org

CERIAS
CERIAS (произносится как слово «serious1») - это Центр по обучению и исследованиям
в области обеспечения безопасности и защиты информации (Center for Education and Re­
search in Information Assurance and Security) при Purdue University. Спонсорская программа
обеспечивает ранний доступ к технологиям и содействует участию в решении проблем
и установлению связей с исследователями в данной отрасли.
www.cerias.org


1. «Сириэс». -Примеч. пер.
Люди и продукты, о которых следует знать
162

CIAC
Наблюдательный отдел по компьютерным инцидентам Министерства энергетики США
(Computer Incident Advisory Capability - CIAC) размещается в Национальной лаборатории
имени Лоуренса Ливермора (Lawrence Livermore National Laboratory). Он обеспечивает
компьютерную безопасность МЭ и делится советами и инструментами в области безопас­
ности с Интернет-сообществом.
www.ciac.org/ciac

Computer Security Institute fCSIJ
Институт компьютерной безопасности является спонсором семинаров и конференций
по вопросам безопасности. Он также выпускает ежемесячный информационный бюлле­
тень и ежеквартальный журнал с результатами исследований по компьютерной безопас­
ности.
www.gocsi.com

EFF
«Фонд электронного фронтира» (Electronic Frontier Foundation - EFF) является неком­
мерческой организацией, заботящейся о тайне личной информации, свободе ее выраже­
ния и доступности.
www.eff.org

FIRST2
FIRST является коалицией, объединяющей различные группы реагирования на ком­
пьютерные инциденты (Computer Security Incident Response Team - CSIRT) по всему миру.
Большинство из этих организаций оказывают круглосуточную помощь по телефону без вы­
ходных дней. Если у вас произошел взлом или возникла проблема, связанная с безопасно­
стью, то вы можете обратиться за помощью в одну из таких организаций. Членами FIRST яв­
ляются все наиболее опытные группы, включая CERT, CIAC (Министерство энергетики
США), AUS-CERT (Австралия) и DFN/CERT (Германия). Для получения текущего списка
групп-участников FIRST введите адрес домашней страницы FIRST в ваш браузер.
www.first.org.

High Technology Crimes Investigation Association (HTCIA)
Ассоциация по расследованию преступлений в области высоких технологий объединяет
лиц, занимающихся расследованием и рассмотрением в суде преступлений в данной об­
ласти. В Соединенных Штатах имеются несколько отделений этой организации.
www.htcia.org
3
ICSA
Предоставляет услуги по обеспечению безопасности, сертификации, обучению и участию
в организации. Также обеспечивает обмен информацией с разработчиками продуктов
и провайдерами услуг. Полный список услуг можно увидеть на веб-сайте ICSA.
www.icsa.com
2. Forum of Incident and Response Security Team. - Примеч. nep.
3. International Computer Safety Association - Международная ассоциация безопасности вычислительных систем. -
Примеч. пер.
163
Люди и продукты, о которых следует знать

ISC2 (International Information Systems Security Certification Consortium)
Международный консорциум по сертификации безопасности информационных систем
является глобальной некоммерческой организацией, обобщающей знания в области ин­
формационной безопасности. Он также проводит сертификацию профессионалов в во­
просах безопасности по международным стандартам.

www.isc2.org

Internet Society
«Общество Internet» является международной организацией, поддерживающей глобаль­
ное сотрудничество и координацию технологий и приложений Интернета. Информацию
об этом обществе можно найти на веб-сайте
www.isoc.org
Information Systems Security Association (ISSA)
Ассоциация защиты информационных систем является международной организацией.
Она осуществляет обучение, публикацию и другую деятельность, связанную с безопасно­
стью.
www.issa.org

1T-ISAC (Information Technology—Information Sharing and Analysis Center)
Центр информационных технологий, обмена информацией и ее анализа является фору­
мом по обмену информацией, связанной с угрозами и способами защиты от этих угроз.
www.it-isac.org

US National Infrastructure Protection Center
Центр зашиты национальной инфраструктуры США является правительственным орга­
ном, ответственным за оценку угроз, предупреждение, расследование и реагирование на
угрозы или атаки против критических инфраструктур страны, таких, как телекоммуника­
ции, службы спасения, энергетика, банковские и финансовые системы.

www.nipc.gov

SANS Institute4
SANS является объединенной образовательной и исследовательской организацией. SANS
предлагает проведение технических конференций для системных администраторов и ад­
министраторов средств обеспечения безопасности. Он делится знаниями, накопленными
в данной области, делая основной упор на то, как решать некоторые из проблем, с которы­
ми сталкиваются системные администраторы. Информационный бюллетень Network Se­
curity Digest, который выпускает организация SANS, является самым читаемым изданием
среди системных администраторов и администраторов средств безопасности. Детали
можно посмотреть на веб-сайте SANS.
www.sans.org



4. Институт системного администрирования, сетевых технологий и зашиты сетей. - Примеч. пер.
Люди и продукты, о которых следует знать
т
SEARCH
Национальный консорциум по юридической информации и статистике (National Consor­
tium for Justice Information and Statistics) обеспечивает обучение компьютерному праву
представителей правоохранительных органов и корпораций. См. веб-сайт SEARCH для
более подробной информации об учебных мероприятиях.
www.search.org

US Office of Homeland Security
Управление внутренней безопасности США координирует национальную стратегию по
усилению защиты от террористических угроз и атак в стране.
www.whitehouse.gov/homeland/

USENIX/SAGE
USENIX является некоммерческой образовательной организацией по UNIX и UNIX-по­
добным системам. Она выпускает журнал и информационный бюллетень, а также являет­
ся спонсором различных конференций и семинаров по безопасности UNIX-систем и сис­
темному администрированию.
www.usenix.org
Ресурсы по обеспечению безопасности

Site Security Handbook
Он является ценным источником знаний по вопросам безопасности. В нем содержится
отличный обзор мер, необходимых для защиты сайта, подключаемого к Интернету. Этот
документ не следует пропускать.

ftp://ds.internic.net/rfc/rfcl244.txt

Info Security News
Это профессиональный журнал по вопросам безопасности, который стоит читать.
www.infosecnews.com
Архивы со сведениями об уязвимых местах
CVE5
www.cve.mitre.org

Security Focus
www.securityfocus.com

Shake Communications
www.shake.net
Популярные почтовые списки рассылки

5. Common Vulnerabilities and Exposures - распространенные уязвимые места и потенциальные убытки. - Примеч. тр.
165
Люди и продукты, о которых следует знать


Bugtraq
В этом списке обсуждаются уязвимые места UNIX, как их можно использовать и как их
закрыть. Его целью является не обучение взлому систем, но, напротив, тому, как обнару­
живать уязвимые места, как делиться информацией о них, как их закрывать и уменьшать
риск повреждения систем и сетей. Для подписки отправляйтесь по адресу www.Security-
Focus.com.
s
NT Bugtraq
7
В этом списке обсуждаются уязвимые места NT .
www.securityfocus.com

Firewalls
В этом списке обсуждаются различные типы брандмауэров (он размещен на хосте Great
Circle Association). Для подписки укажите "subscribe firewalls" внутри вашего запроса по
адресу majordomo@greatcircle.com.

Консультационные фирмы
Если вы решите, что вам нужна помощь в осуществлении ваших планов, то сделаете пра­
вильно, если обратитесь к профессионалу. Консультационные услуги в области безопас­
ности оказывают следующие фирмы:

@Stake
www.@stake.com

Data Systems Analysts
www.dsainc.com

Deloitte Touche & Tohmatsu
www.deloitte.com

Ernst & Young LLP
www.ey.com

FishNet Consulting, Inc.
www.fishnetsecurity.com

Guardent
www.guardent.com




6. NT Bugtraq находится по адресу ntbuglraq.com, а по приведенному ниже адресу находится просто Bugtraq, -
Примеч. пер,
7. Автор имеет в виду операционные системы Windows NT, Windows 2000 и Windows XP. - Примеч. пер.
166 Люди и продукты, о которых следует знать


Kroll
www.krolIworldwide.com

Network Defense
networkdefense.com

Predictive Systems
www.predictive.com

PriceWaterhouseCoopers
www.pw.com

SAIC (Science Applications International Corporation) 8
www.saic.com

Security
www.securify.com


Расследование компьютерных преступлений
Большинство групп реагирования на вторжение не проводят расследований. Они только
предоставляют помощь, информацию и ведут поиск причин. Если вы стали жертвой ком­
пьютерного преступления, то вам, может быть, будет необходимо сообщить об этом пре­
ступлении в один из перечисленных ниже правительственных органов. Узнайте, когда и
как прибегать к помощи правоохранительных органов.

Министерство юстиции США (Department of Justice - DOJ)
Criminal Division (Управление по уголовным делам)
General Litigation and Legal Advice Section (Отдел общего судопроизводства и юридиче­
ских консультаций)
Computer Crime Unit (Отдел компьютерных преступлений)
Department of Justice
Washington, DC 20001
www.usdoj.gov
202-514-1026

Федеральное бюро расследований - ФБР
(Federal Bureau of Investigation - FBI)
National Computer Crimes Squad (Национальная группа по компьютерным преступлениям)
Federal Bureau of Investigation
7799 Leesburg Pike
South Tower, Suite 200

8. Международная корпорация научных приложений - инжиниринговая организация. - Примеч. пер.
167
Люди и продукты, о которых следует знать


<< Пред. стр.

страница 19
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign