- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Взгляд со стороны взломщика
Только что мы рассмотрели ключевые файлы журналов UNIX и узнали, какая информация хранится в них. Помните, что основной задачей взломщика является сокрытие следов. Если такие файлы не будут изменены взломщиком после проникновения в систему, администратор получит отличную возможность засечь взлом. Таким образом, взломщику очень важно вычистить эти файлы и спрятать информацию о своих действиях. При работе с файлами в формате ASCII взломщик может напрямую обратится к файлам журналов, если он имеет доступ суперпользователя к системе. Файлы messages и secure могут изменяться или читываться только пользователем root, что усложняет задачу взломщика. Когда взломщик имеет дело с двоичными файлами, он не может напрямую обращаться к ним, однако всегда может удалить их, если его полномочий достаточно для этого. Из сказанного можно сделать вывод, что спрятать следы взлома крайне трудно. Однако, к сожалению, существуют отдельные программы, которые могут взломщику помочь "подчистить" файлы журналов. Большинство из этих программ доступны по адресу: ftp://ftp.technotronic.com/unix/log-tools. Ниже приведен список некоторых из них.
-
Chusr.с — используется для удаления записей из файла utmp.
-
Cloak.с —удаляет все следы присутствия пользователя в системе UNIX.
-
Cloak2.c— новая версия программы cloak, которая лучше работает с файлами wtmp и utmp.
-
Displant.с — чистит и удаляет все следы из файла utmp.
-
Hide.с — чистит и удаляет все следы из файла utmp.
-
Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
-
Lastlogin.с — удаляет все последние записи, которые касаются заданного пользо вателя.
-
Logcloak.с — еще одна версия программы cloak.
-
Logutmpeditor.с — редактирование записей в файле utmp.
-
Logwedit.с — чистит и удаляет все следы из файла wtmp.
-
Marry.с — удаляет записи и чистит файлы журналов.
-
Remove.с —удаляет записи из файлов utmp, wtmp, и lastlog.
-
Stealth.с - удаляет записи и чистит файлы utmp.
-
Ucloak.c — еще одна версия программы cloak, позволяющая скрыть присутствие пользователя в системе^
-
Utmp — удаляет записи из utmp по имени или номеру.
-
Wtmped.с — позволяет заменить wtmp файлом, заданным вами.
-
Zap.с — удаляет записи из файлов wtmp и utmp.
-
Zap2.с — обновленная версия программы zap.
Как видите, существует много программ, позволяющих стереть следы присутствия взломщика из файлов журналов. Некоторые из этих программ существуют уже довольно долго и могут требовать изменений при запуске под некоторые ОС. Однако их наличие не означает поражение администратора в соревновании со взломщиком. Далее мы разберем несколько методов, которые сведут шансы взломщика получить доступ к файлам журналов к минимуму.
Защита файлов журналов в unix
Выше были описаны основные файлы журналов и действия, которые может предпринять взломщик для сокрытия следов. Теперь мы сконцентрируемся на том, что может сделать администратор для защиты файлов журналов. Помните, что если взломщику удастся изменить файлы журналов и скрыть следы своего присутствия, значит, он выиграл. Вы должны тщательно охранять свои файлы журналов, чтобы взломщик не мог изменить их. Тогда вы сможете обнаружить его, а значит, вы выиграли. Для всего, что касается безопасности, лозунг "главное не победа, а участие" не подходит. Все должно быть направлено на победу, т.е. выживание.
Для защиты ваших файлов журналов нужно выполнить ряд действий.
-
Установить правильные права доступа к файлам журналов.
-
Использовать отдельный сервер.
-
Регулярно создавать резервные версии файлов журналов.
-
Использовать одноразовые носители.
-
Кодировать файлы журналов.
-
Регулярно просматривать файлы журналов.
Права доступа к файлам журналов
Если взломщик не имеет прав чтения или перезаписи файла, ему будет крайне трудно удалить или изменить его. По возможности права чтения и записи должен иметь только пользователь root. В этом случае если взломщик не имеет прав суперапользователя, он вряд ли сможет изменить журналы. Если же взломщик получит права пользователя root, у вас действительно появятся большие проблемы, однако если вы выполните приведенные действия, вы сможете защититься даже в этом случае.
Использование отдельного сервера
Использование отдельного сервера для хранения файлов журналов является простым и эффективным способом защиты. Тогда если взломщик даже и проникнет в систему, он не сможет изменить файлы журнала, поскольку они находятся на другом компьютере. Для изменения файлов журнала он должен будет взломать еще одну систему, что значительно усложнит его задачу. Если вы скомбинируете этот метод с некоторыми другими из приведенных здесь, вы всегда будете иметь возможность отследить действия взломщика.
Многие компании используют прием под названием приманка. Приманка — это отдельная система, которая используется для заманивания взломщиков и наблюдения за их действиями. Такая система может также отвлечь взломщика от ключевых серверов компании. Я считаю, что любые действия, которые могут привлечь внимание взломщиков, являются опасными для компании, однако решение остается за вами.