- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Люки и троянские кони
Если объяснить проще, люк — это путь, которым взломщик может незаметно вернуп в систему. Люк позволяет предельно упростить взлом. Как было сказано ранее, после проведения разведки и удачного взлома хакер пытается максимально облегчить свое проникновение в систему в будущем. Наиболее распространенным методом создания люка является открытие портов, через которые программы взломщика принимают информацю Такие программы описаны ниже. Если компания серьезно относится к безопасности, скрытые порты будут обнаружены довольно быстро. Однако если сканирование по производится в диапазоне от 1-го до 1023-го, а взломщик открыл порт 5050, люк никогда не будет обнаружен. Именно поэтому очень важно сканировать все порты, от 1-го| 65535-го, и причем дважды. Почему дважды? Один раз TCP-порты, а второй — UDP. На данный момент многие компании сканируют только TCP-порты, тогда как люки открываются именно на портах UDP.
Как видите, довольно легко создать люк при наличии полного доступа к системе, однако можно ли создать его, когда такого доступа нет? В принципе это возможно, если воспользоваться троянской программой. Подобные программы работают по тому же принципу, который изложен в старой легенде о падении Трои.
Троянская программа состоит из двух частей: из явной и скрытой. Явная часть видна всем. Эта часть должна быть; точно интересной для того, чтобы когда пользователь увидит ее, он сразу заинтересовался бы ею и запустил ее. После этого скрытая часть наносит урон. В то время, когда явная работает, скрытая часть программы незаметно выполняет свою работу, нанося какой-либо вред. Эта скрытая часть может делать все, что угодно — запустить программу взлома, уничтожить жесткий диск или создать люк в системе. Большинство троянских программ устанавливают программное обеспечение, которое открывает люк на компьютере жертвы.
Одна из основных причин популярности троянских программ заключается в их эффективности. Большинство пользователей не помнят об опасности, исходящей от Internet, когда они открывают вложение или загружают программу из сети. Они считают, что такие программы безопасны, и не задумываются о том, какая угроза может исходить от них. Еще одна проблема, связанная с такими программами, заключается в том, что они распространяются, как степной пожар, поскольку часто поступают из якобы доверенных источников. Что я сделаю, когда получу классную программу? Я отправлю ее друзьям, которые, в свою очередь, отправят ее своим друзьям. В результате через несколько дней эта программа будет установлена на десятках тысяч компьютеров по всему миру.
В разделе "Back Orifice" этой главы будут описаны программы, которые позволяют легко превращать обычные приложения в троянские. Однако сначала давайте рассмотрим пример. Одно время в Internet ходила программа, которая якобы позволяла использовать CD-ROM для записи дисков. Как вы понимаете, когда такие устройства появились впервые, они стоили очень дорого и о них почти никто ничего не знал. И тут пользователи получили возможность бесплатной записи CD. Многих это настораживало, однако они думали так: "Если это правда, оно того стоит". К сожалению, вместо волшебного превращения CD-ROM в CD-writer, происходило волшебное форматирование жесткого диска. Данная программа была типичным примером Троянского коня и стирала все содержимое жестких дисков.
Давайте познакомимся с другими примерами и с тем, какой ущерб может нанести троянская программа. Компания Microsoft в конце 2000 года также стала жертвой троянской программы, которая проникла в сеть компании через электронную почту. Считается, что троянской была программа QAZ.
QAZ
Программа QAZ достаточно проста и проникает в сеть через электронную почту. Эта программа прячется в файле notepad.exe на компьютере жертвы. Для этого она переименовывает файл notepad, exe в note.com и копирует себя в notepad.exe. Вы скажете: "Ну и что? Когда кто-то попытается запустить Notepad, она не заработает и это вызовет подозрения". Однако QAZ поступает хитрее. Когда пользователь запускает Notepad, который на самом деле находится в note.com, QAZ не только запускает программу взлома, но и программу note.com, в которой находится настоящая программа Notepad. Таким образом, с точки зрения пользователя, ничего не меняется. После этого QAZ создает люк через порт 7597 и отправляет IP-адрес жертвы по электронной почте. Можете даже не сомневаться, это не настоящий адрес взломщика, однако взломщик сможет получить с него IP-адрес жертвы. При этом, если компания регулярно проводит сканирование портов, взлом будет замечен довольно быстро.
Кроме описанных действий, QAZ ведет себя, как сетевой червь и пытается ра страняться по сети. Для этого программа находит все открытые ресурсы и перепись все доступные файлы notepad.exe на удаленных системах. Таким образом, помимо создания люка программа QAZ имеет средства быстрого распространения по сети. В по нее время такие программы стали появляться все чаще.
Теперь давайте рассмотрим методы создания люков.
Установка агента
В данном разделе мы рассмотрим универсальные программы, которые могут быты пользованы как агенты, принимающие сетевые соединения. После этого мы ознакомим с программами, позволяющими взломщику не только создавать люки, но и делать в системе все что угодно. Агент сетевого соединения — это программа, которая открывает порт на компьютере жертвы и ожидает подключения по этому порту. Когда кто-то подключается к этому порту, агент запускает другую программу или предоставляет взломщику доступ из командной строки. Далее мы рассмотрим такие программы:
-
Netcat;
-
Tini.
Netcat
Netcat — универсальная программа работы с сетями. Она имеет много возможностей, высокую функциональность, однако если говорить в общем, это программа, которая позволяет системе передавать или получать данные. Когда netcat получает данные, он просто ожидает подключения к определенному порту. Как вы понимаете, это можно использовать как основу для создания сетевого агента. Вы можете не только указать netcat определенный порт, но и программу, которая запустится после подключения к этому порту. В большинстве случаев при создании люка взломщику нужна командная оболочка, которая позволит ему делать все что угодно. Программа netcat работает как под UNIX, так и под NT. На каждой из этих ОС взломщик должен установить программу netcat и запустил указанную команду. В результате взломщик создаст в системе люк, затратив минимум сил.
Tini
Программа tini похожа на netcat тем, что позволяет создать люк в системе Windows. Tini имеет меньше возможностей и не позволяет настройку, однако, как видно из названия, она очень маленькая. Одним из главных преимуществ этой программы является её размер, который равен 3 Кбайт. Таким образом, для загрузки этой программы в систему требуется совсем немного времени, а на диске она занимает мало места. Такой размер программы обусловлен тем, что она написана на ассемблере. С точки зрения взломщика, основным ее недостатком является то, что она принимает соединения только через порт 7777 и запускает только командную оболочку, когда кто-то подключается к этому порту. Это упрощает работу администраторам компьютера жертвы, поскольку достаточно подключиться к порту 7777, и сразу становится ясно, что происходит. Заметить netcat в системе гораздо сложнее, поскольку она способна принимать информацию через любой порт. Кроме того, взломщик может периодически изменять номер порта.