- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Защита от размещения дополнительных файлов
Наилучшим способом защиты является знание своей системы. Администратор должен периодически запускать программу определения свободного места на диске. Если количество свободного места на диске резко уменьшилось, значит у вас есть проблемы. Утилиты проверки свободного места должна периодически проверяться программами типа tripwire, чтобы взломщик не мог заменить эту утилиту троянской версией. Помните, что администратор не может знать о всех файлах и каталогах в системе, однако постоянное слежение за созданием новых каталогов и загрузкой файлов из сети позволяет устранить проблему до ее возникновения.
Сокрытие следов в сети
Только что читатель ознакомился с методами сокрытия следов в отдельных системах под NT и UNIX. С развитием систем обнаружения взлома в сети, таких, как брандмауэры, взломщикам приходится прятать следы своего присутствия в сети. Если взломщик сможет скрыть информацию, которая передается по сети, или замаскировать ее под обычную информацию, его деятельность не будет выглядеть подозрительно и его вряд ли засекут. Существует три основных программы сокрытия следов в сети. Первые две пытаются замаскировать информацию под обычную, а третья позволяет прятать информацию в пакетах. Ниже приведены названия этих трех утилит.
-
Loki
-
Reverse www shell
-
Covert TCP
Loki
Название loki произносится как "low key". Данная программа позволяет маскировать деятельность взломщика под другие протоколы. При этом взломщик туннелирует свои протоколы через те, которые разрешены в данном сегменте сети. Программу loki можно получить по адресу: http: //www.phrack.com. Обычно для туннелирования применяется протокол IСМР, используемый программой ping. По этой причине в большинстве сетей всегда передается довольно большое количество информации в протоколе ICMP. Если взломщик использует туннелирование своей информации через протокол ICMP, он может остаться незамеченным. Кроме того, для маскировки деятельности взломщика часто применяется протокол UDP для порта 53, обычно используемый службой DNS. Когда пользователь вводит любое имя домена, например www.newriders.com, это приводит к передаче информации по протоколу DNS, поскольку система должна узнать IP-адрес, отвечающий этому имени. Это значит, что в большинстве сегментов сети протокол DNS используется довольно активно. Это позволяет взломщику скрыть следы своей деятельности.
Защита от loki
Не существует прямого метода защиты от этого взлома. Поскольку протоколы ICMP и UDP довольно сильно загружают сеть, то большое количество информации, передаваемое по этим протоколам, может привлечь внимание.
Стоит подчеркнуть, что наилучшим методом защиты от этого взлома является предотвращение проникновения в систему. Помните, что вы должны стремиться полностью предотвратить взлом системы. Поскольку это не всегда возможно, доскональное знание своей системы, а значит знание обычного количества передаваемой информации, крайне важно. Если компьютером передается слишком большое количество информации или компьютер проявляет необычную активность, это должно вызвать подозрения. Кроме того, нужно придерживаться принципа ограничения полномочий и предоставлять пользователям только те возможности, которые необходимы для нормальной работы. Это позволит свести возможный ущерб к минимуму. В этом случае даже если взломщик проникнет в систему, он будет ограничен в своих действиях.
Reverse www shell
Программа Reverse www shell доступна по адресу http://r3wt.base.org. Принцип действия этой программы очень прост. После того как взломщик проникнет в систему, он должен загрузить Reverse www shell. В результате система жертвы будет подключаться к машине взломщика через заданные интервалы времени. Система подключается к порту 80 удаленного компьютера с порта со значением больше 1024 на компьютере жертвы. Таким образом, это выглядит, как обычная работа в Web. Данный метод является незаметным для систем обнаружения взлома, а также пропускается брандмауэрами, которые разрешают работу в Web.
Защита от Reverse www shell
Чтобы защититься от данного метода взлома, вы должны внимательно анализировать всю активность в сети. Если большинство пользователей уходят домой в 18:00, и вы замечаете Web-трафик, который проходит по сети ранним утром, значит что-то не так. Кроме того, в большинстве случаев при работе с Web количество исходящей информации намного меньше, чем количество входящей. Например, если я работаю с одним узлом, мой броузер посылает один запрос get, после чего все содержимое странички пересылается моему броузеру. Таким образом, обычно очень мало информации покидает сеть через порт 80 и довольно много информации поступает через тот же порт. В случае с Reverse www shell, ситуация будет выглядеть по-другому. Если взломщик просто посылает команды машине, количество информации в обоих направлениях будет мало. Если же взломщик собирает информацию или загружает ее с сервера, ситуация будет противоположной той, которая складывается при обычной работе в сети. Таким образом, зная нормальное количество информации, которая должна проходить через порт 80, можно засечь взломщика. К сожалению, такой метод неэффективен для систем, которые работают с большим количеством информации.
Кроме того, чтобы защититься от такого взлома, нужно обеспечить безопасность системы в целом.
CovertTCP
Протоколы TCP/IP разрабатывались очень давно, еще до того, как Internet начала активно развиваться. По этой причине ее создателям приходилось строить предположения о том, какие функции и возможности она должна иметь. Кроме того, информация, которая хранится в заголовках пакетов, почти не проверяется. Таким образом, если придумать способ хранения информации в заголовках, можно прятать информацию прямо в заголовках TCP/IP. Как вы помните, протокол TCP является ориентированным на соединение и его заголовки могут содержать много избыточной информации, что дает взломщику простор для действий. Идея о сокрытии информации в заголовках связана с областью, которая называется стеганографией и была использована при создании эксплоита CovertTCP.
Программа CovertTCP наглядно демонстрирует, как можно спрятать информацию в заголовках TCP. Теперь обнаружить информацию, пересылаемую взломщиком, будет очень трудно. CovertTCP использует для сокрытия информации три поля:
-
поле идентификатора IP;
-
поле номера последовательности пакета;
-
поле подтверждения передачи.
Как вы помните, для повышения надежности связи в TCP используются номера последовательности пакетов. Таким образом, если мы начнем изменять номера последовательности, обе машины запутаются. Например, машина А говорит машине Б, что следующий пакет будет иметь номер 5001, однако мы подменим номер пакета, и машина А отправляет пакет с номером 1005. Это серьезно запутает машину Б и приведет к большим проблемам. Теоретически все верно. Однако что, если мы будем использовать пакеты для односторонней связи? В этом случае поле номера последовательности не будет использоваться. Тогда машина А будет посылать пакеты с информацией в поле номера последовательности. При этом машина Б будет получать пакеты, однако будет постоянно разрывать соединение. Теперь машина Б может получать информацию от машины А. Если это будет повторяться периодически и пересылаться во всех пакетах, это вряд ли вызовет подозрения. С другой стороны, если два компьютера будут постоянно поддерживать сеанс связи, это привлечет внимание.
Кроме того, можно использовать другое поле, которое не является важным для передачи обычной информации. Например, можно спрятать информацию в поле маршрутизации. Как вы помните, в TCP/IP можно указать путь, которым пакеты должны проходить через сеть. Такой метод передачи пакетов называется маршрутизацией от источника. Поскольку очень мало компьютеров обрабатывают данное поле, его можно использовать для передачи информации. Как видите, если проявить немного фантазии, можно найти много мест, где спрятать информацию.
Защита от CovertTCP
Не существует простых методов зашиты от данного типа атаки. Однако если следить за подозрительными пакетами, можно поймать взломщика. К сожалению, нет надежного метода защиты от этого взлома, однако не стоит недооценивать методы общего анализа информации в сети.