- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Программы слияния
Думаю, что читатель уже задается вопросом: "Это конечно прекрасные пакеты, которые имеют много возможностей, однако как взломщик может создать троянскую программу?". Допустим, взломщик имеет хорошую программу, которая понравится всем, однако как ему вставить в нее Back Orifice? Это нужно сделать таким образом, чтобы при запуске пользователем полезной программы автоматически устанавливалась программа создания люка. В пакет Back Orifice входят утилиты слияния программ, которые позволяют объединить явную и скрытую части. Взломщик может воспользоваться одной из утилит слияния, чтобы вставить программу создания люка в любую программу под Windows. Несколько таких утилит доступны по адресу: http://packetstormsecurity.org. Ниже приведены три из них:
-
SilkRope 2000 — программа с простым графическим интерфейсом;
-
SaranWrap — программа с интерфейсом командной строки;
-
EliteWrap — программа с интерфейсом командной строки.
Как видите, большинство программ для создания люков в Windows имеют схожие возможности. Помните о том, насколько они просты и разнообразны.
Сокрытие следов
После проникновения в систему одной из основных задач взломщика является сокрытие следов. Иногда, например в случае шпионажа, достаточно проникнуть в систему, получить нужную информацию и больше не возвращаться. Однако в большинстве случаев взломщик хочет иметь возможность вернуться в систему в любой момент. Если сбор информации и проникновение в систему требуют много времени, взломщик вряд ли захочет проделывать эту работу каждый раз. Существует много утилит, позволяющих взломщику обеспечить постоянный доступ в систему. Однако перед установкой таких утилит нужно сначала замести следы и скрыть факт своего присутствия в системе.
Если взломщик проникнет в систему и создаст в ней люк, а администратор заметит это, люк долго не просуществует. Администратор уничтожит такой люк, чтобы не позволить проникновение в систему в будущем. По этой причине сокрытие следов крайне важно с точки зрения взломщика. Если взломщик сможет сделать это, администратор не заметит его, а значит, повторный доступ будет обеспечен.
С другой стороны, если вы будете досконально разбираться в том, как взломщики скрывают следы, вы быстрее заметите, что система была взломана. Помните, что основное правило безопасности гласит: "Предотвращение — это идеал, а обнаружение — необходимость". Вы должны всегда иметь возможность обнаружить взломщика. Это похоже на шахматную партию между взломщиком и администратором. Взломщик всегда пытается замести следы своего присутствия в системе, а администратор должен постоянно искать следы взлома, чтобы не пропустить его.
Как скрыть следы
После проникновения в систему прежде всего взломщик должен скрыть следы взлом. Есть пять областей, которые интересуют его в первую очередь.
-
Файлы журналов. Большинство систем имеют файлы журналов или системы аудита, в которых содержится информация о том, кто подключался к системе и на какое-то время. В зависимости от уровня ведения таких журналов существует возможность документировать действия этих пользователей.
-
Информация о файлах. Чтобы проникнуть в систему или создать в ней люк, взломщику обычно нужно изменить или перекомпилировать основные системные файлы. Когда взломщик делает это, ключевая информация о файле, такая как дата создания и размер, изменяются. Это может говорить о том, что система была взломана.
-
Дополнительные файлы. В большинстве случаев в процессе получения доступа к системе или после этого, взломщик загружает дополнительные файлы. Эти файлы могут занимать много места и использоваться для создания люков в системе или для взлома других систем. Если взломщик собирается проникать в другие системы, он должен загрузить утилиты, которые могут занимать много места.
-
Загрузка сети. Взломщик проникает в систему через локальную сеть или Internet. Это означает, что взломщик должен иметь возможность скрыть свою активность в сети. Поскольку в большинстве сетей запущены системы обнаружения вторжений (IDS), будет замечена любая подозрительная сетевая активность. Это означает, что взломщик должен найти и уничтожить любые записи IDS, которые касаются его деятельности. Это крайне сложно, поскольку эти записи записываются в реальном времени. Кроме того, взломщик может скрыть свою деятельность в сети, замаскировав ее под работу обычных приложений.
Далее в этой главе приведенные области описаны детально и показано, как взломщик может прятать следы.