- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Регулярное проведение резервного копирования
Важно не только проводить резервное копирование основных системных файлов, но и файлов журналов. Если взломщик сможет проникнуть в систему и удалить журналы за несколько недель, вы потеряете много важной информации. Я предпочитаю проводить резервное копирование в несколько мест сети, а также на съемный носитель. В этом случае вероятность потери файлов журналов крайне низка. Кроме того, это позволяет проводить проверку надежности журналов посредством их сравнения. Очень высока вероятность того, что при попытке сокрытия следов, взломщик упустит что-либо. Для повышения надежности нужно проводить цепное копирование из системы А в систему В, С и D. После этого система Сможет провести резервное копирование в систему F и так далее. Теперь взломщик должен быть крайне внимательным, чтобы не пропустить ни одной копии. Если он упустит хоть одну из них, то после сравнения всех копий администратор обнаружит взлом.
Использование одноразовых носителей
В идеале вы должны записывать файлы журналов на одноразовые носители. Запись на такие носители можно проводить только один раз, и не существует возможности изменить или удалить файлы с них. Если файлы записываются сразу при создании, взломщик не сможет подчистить или удалить их. Однако некоторые взломщики отключают ведение журналов сразу после проникновения в систему, так что даже в случае использования одноразовых носителей ничего не будет записываться. Единственное, что можно сделать в этой ситуации — внимательно просматривать файлы журналов в поисках интервалов полного отсутствия ведения журнала. Я встречал компании, где файлы журналов выводились напрямую на принтер. Тогда ни у кого даже не возникнет сомнений в подлинности записей. В этом случае, если взломщик не имеет физического доступа, изменение файлов журналов невозможно.
Кодирование
Если вы проводите кодирование файлов журналов в реальном времени, изменить их без пароля фактически невозможно. Поскольку ключ не записывается в системе, получить доступ к файлам журналов можно только подобрав пароль, что крайне сложно. Однако такой метод приводит к дополнительным затратам ресурсов процессора. Кроме того, ключ должен находиться в безопасном месте. С другой стороны, вы должны быть уверены в том, что доверенные люди имеют доступ к нему, поскольку в случае его утери или увольнения сотрудника можно остаться с большим количеством закодированных файлов журнала и без возможности прочесть их. Я встречался с ситуациями, когда после кодирования файлов никто не мог раскодировать их. В этом случае даже некого было обвинить.
Регулярный просмотр файлов журналов
Только что было описано несколько методов защиты файлов журнала, однако все они не дадут результатов, если эти файлы не будут регулярно просматриваться. Вы должныр гулярно просматривать файлы журналов и искать следы необычной активности в системе.
Администратор должен понимать, что важно использовать большинство, если не все из приведенных методов для защиты файлов журналов. Если вы воспользуетесь одним методом, это лучше, чем ничего, однако этого недостаточно для надежной: Чем лучше защищены файлы журналов, тем больше вероятность обнаружения Помните, что по-настоящему надежная защита не полагается на одну лишь линию защиты. Только комбинируя несколько методов, вы можете надежно защититься от взлома.