- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Сканеры телефонных линий
Сканер телефонных линий — это программа, которая последовательно считывает список телефонных номеров, набирает номера из списка и ищет номера, где отвечает модем. В случае, если отвечает модем, программа записывает номер и переходит к следующему. Если отвечает человек, она вешает трубку. Чтобы сотрудники компании не заметили последовательного перебора, номера из списка часто выбираются в произвольном порядке.
-
Анализ информации. После того как сканирование номеров закончено, взломщик выбирает номера, по которым отвечали модемы. Он ищет неконтролируемые модемы, не подключенные к общей модемной стойке. Неконтролируемый модем — это модем, который связан с рабочей станцией или сервером. При этом обычно о нем ничего не знают в отделе технической поддержки. Если взломщик находит несколько номеров подряд, по которым отвечают модемы, то, скорее всего, это модемы из модемной стойки. Такие обрабатываются в последнюю очередь
-
Соединение с каждым модемом. После того как неконтролируемые модемы, которые связаны с индивидуальными серверами или рабочими станциями, были обнаружены, взломщик пробует соединиться с ними. При этом он пытается определить тип ответившей системы. Большинство программ взлома пытаются провести простейший взлом автоматически, взломщик может выполнять и более сложные операции.
-
Поиск программы PC Anywhere. PC Anywhere — это приложение, которое позволяет пользователям обращаться к удаленному компьютеру и работать с ним. как будто они сидят рядом. Найденная и незащищенная программа PC Anywhere или подобная ей дают взломщику очень большие возможности. Допустим, на компьютере пользователя была найдена программа PC Anywhere, не требующая пароля. Этот факт не говорит о качестве программы PC Anywhere, он говорит только о ее неправильной настройке.
-
Подключение через модем. Взломщик соединяется с системой через модем, устанавливает на компьютер программу Back Orifice и отключается.
-
Подключение через Internet. Используя программу Back Orifice, взломщик соединяется с клиентом через Internet и теперь полностью управляет машиной посредством удобного графического интерфейса.
-
Запуск анализатора пакетов. Используя программу Back Orifice, взломщик запускает анализатор пакетов, чтобы собрать информацию о сети.
-
Сбор паролей. Одна из областей, которые особенно интересуют взломщика. — это пароль для учетной записи администратора.
-
Взлом системы. Используя этот пароль, взломщик проникает на сервер и создает в системе несколько скрытых учетных записей. Кроме того, взломщик может установить в системе люки для дальнейшего доступа.
-
Взлом сети. Теперь взломщик имеет полный доступ к сети и всем машинам, которые постоянно находятся в сети.
Сценарий 2: социотехника
Этот сценарий описывает взлом с помощью так называемого метода социотехники. Несмотря на то, что этот вид взлома не имеет отношения к компьютерам, обычно он очень эффективен. Для того чтобы произвести взлом этим способом, необходимо выполнить ряд действий.
1. Поиск в Web. Обычно чтобы осуществить взлом с помощью социотехники (т.е. обмана), нужно произвести определенный анализ необходимой предварительной информации. Есть два места, где можно гарантировано обнаружить широкий спектр самой разнообразной информации — это Web-узел компании, а также узлы агентств трудоустройства. С узла компании вы можете получить информацию о планах ее роста и наиболее занятых отделах. А зайдя на узлы служб занятости, вы получите много информации относительно почтовых адресов компании, а также отделов, которые ведут наем. Обычно в этих рекламных объявлениях перечисляются имена менеджеров, которые осуществляют наем, а также указываются неукомплектованные отделы.
-
Анализ информации. Просматривая полученную исходную информацию, взломщик сочиняет историю, объясняющую, почему он нуждается в доступе. Допустим, на основании информации, которая была получена на прошлом этапе, в результате анализа взломщик выясняет, что Нью-Йоркский офис компании-жертвы действительно будет построен около центрального парка. И что после победы в тендере будет подписан большой контракт с компанией WCT, а также осуществлен наем большого количества сотрудников. Имя менеджера по найму— Эрик К., и, судя по всему, он невероятно перегружен работой, потому что из информации узла агентства занятости известно, что объявлен набор на вакантные должности трех подчиненных менеджеров и двух помощников менеджера.
-
Звонок в компанию. Теперь, когда у взломщика есть готовая выдуманная история, он звонит в информационную службу компании и объясняет человеку, взявшему трубку, что он только начал работу в Нью-Йоркском офисе и поражен тем, как быстро растет офис. Взломщик объясняет, что он работает на Эрика К., который велел ему самому позвонить в службу поддержки и напомнить, что ему нужна учетная запись, поскольку сегодня он просто тонет в анкетировании набираемых сотрудников. Если взломщик добавит немного лести, например, скажет, как он поражен огромным объемом работы, осуществляемой Эриком К., а также не упустит описания прекрасного вида из окна на центральный парк, или какой-либо другой подобной информации, он может убедить человека на другом конце провода в том, что он действительно работает на компанию.
-
Получение учетной записи. Вы будете поражены тем, насколько быстро взломщик услышит волшебные слова: "Пожалуйста подождите, пока я создам для вас учетную запись".
-
Получение номера телефона удаленного доступа. После того как информация об учетной записи получена, взломщик объясняет, что у него много работы и он должен будет работать даже ночью, поэтому ему будет необходим номер телефона удаленного доступа для работы через модем.
-
Регистрация в системе. Взломщик заваривает себе чашку ароматного кофе и с помощью полученной информации подключается к сети компании.
Сценарий 3: физическое проникновение
Следующий сценарий является еще одним примером нетехнического взлома, но проиллюстрирован здесь для того, чтобы показать вам, что даже самые простые методы взлома могут быть очень эффективными. Ниже перечислены действия, необходимые для осуществления взлома этим способом.
-
Поиск информации о компании. Чтобы выполнить физическое проникновение, взломщик должен определить адрес офиса компании. Он может осуществить это, просматривая Web-узел искомой компании или телефонную книгу.
-
Определение местоположения. После того как адрес найден, используя карту или Web-узел компании, взломщик определяет направление и конкретное местоположение компании.
-
Ведение наружного наблюдения. Обычно утром, в часы завтрака, или днем взломщик подъезжает к компании и снаружи исследует обстановку возле офиса. Цель наблюдения состоит в том, чтобы ознакомиться с особенностями поведения сотрудников компании. Если быть более точным, он изучает пути входа в здание и определяет наилучший способ проникновения. Естественно, он выбирает путь, которым можно незаметно проникнуть внутрь.
-
Проследовать за предполагаемым пользователями через выбранный вход. После проведения анализа взломщик узнает, как и когда сотрудники входят в здание. Обычно существует устойчивый поток людей между 8:30 и 9:00. Незадолго до этого времени взломщик, предварительно переодевшись, чтобы походить на сотрудников компании, несет коробку, которая выглядит тяжелой. Он следует в здание за кем-то, кто будет любезно держать дверь для него открытой. Заведя с кем-либо случайный разговор, взломщик может обойти любой контрольно-пропускной пункт или турникет, если он есть.
-
Сигнализация. Проникнув внутрь здания, взломщик пытается найти открытый терминал. Это самый опасный момент, поскольку взломщик не знает, когда сотрудники входят в свои кабинеты. К тому же когда они уезжают вечером домой, то, в основном, выключают свои машины. Из этого следует, что лучшее время для взлома — обед. Большинство людей в это время оставляют свои компьютеры включенными и не блокируют терминал. В случае, если кто-то подойдет, взломщик может всегда оправдаться: "Я работаю в отделе технической поддержки, мне сказали, что у этого пользователя проблемы с компьютером". Поскольку у пользователей очень часто бывают проблемы с компьютерами, это оправдание порой срабатывает.
-
Копирование ценных файлов. Теперь взломщик имеет те же права доступа, которые есть у пользователя, а обычно это означает доступ к основной массе данных компании. Поскольку взломщик входит в систему так же, как и пользователь-жертва, он может обращаться ко всем ресурсам и ценной информации, а также копировать ее на съемные носители данных.
-
Установка люка. Если взломщику нужен доступ не ко всем данным компании, а только к ресурсам, он может установить люк. Можно установить программу типа Reverse WWW, которая будет соединяться со взломщиком в определенное время. Для этого он должен узнать, разрешено ли использование Web.
Сценарий 4: взлом NT
Теперь рассмотрим взлом системы NT, и для этого скомбинируем нескольких утилит. Это только один из многих возможных сценариев, которыми могут пользоваться взломщики, чтобы проникнуть в систему.
-
Сетевая разведка. С помощью Internet выполняется сбор информации и повторение действий, описанных в главе 2. Эта информация используется для того чтобы выяснить, какие из систем в сети являются активными.
-
Определение типа системы. После того как активные системы найдены, используется программа определения типа системы, например queso или nmap.
-
Подключение через нулевой сеанс. Программа hunt для NT, которая является частью набора утилит NT Forensics, может быть использована для подключения к системе посредством нулевого сеанса. Указанный набор можно найти по адресу:
http://www.foundstone.com/rdlabs/tools.php.
-
Сбор информации. Используя разнообразные утилиты, взломщик может получать информацию о системе, включая учетные записи пользователя и пароли.
-
Пароль. Информация, собранная на предыдущем этапе, может быть использована для выяснения пароля пользователя.
-
Вход в систему. После того как взломщик получил доступ к учетной записи пользователя, он может делать с системой все, что ему нужно.
Сценарий 5: взлом UNIX
В данном сценарии показано, как можно провести разведку системы, путем сканирования портов определить слабые места в защите, и использовать их для проникновения в систему. Для этого нужно выполнить ряд действий.
-
Сетевая разведка. Взломщик выполняет сбор информации и повторяет шаги, которые описаны в главе 2. Полученная информация используется для нахождения активных компьютеров.
-
Идентификация системы UNIX. После того как найдены активные системы, взломщик определяет тип ОС с помощью программы типа nmap.
-
Сканирование портов. Программа гапар может использоваться не только для идентификации операционной системы, но также и для сканирования портов.
-
Применение эксплоита. После того как список открытых портов найден, взломщик подключается к каждому из них и собирает информацию о программах, принимающих соединения через данные порты. Для этого можно воспользоваться программой netcat. Допустим, в системе запущена программа imapd. Взломщик загружает исходный код эксплоита IMPAD, компилирует его и использует для взлома. После этого взломщик имеет возможность выполнять любые команды.
-
Создание учетной записи. Взломщик создает учетную запись с доступом суперпользователя, чтобы иметь возможность вернуться в систему в любое время.
-
Установка троянской программы. Поскольку взломщик хочет иметь как можно больше возможностей, он подключается к системе и устанавливает набор подмены утилит уровня ядра, например knark. Теперь взломщик может проникнуть в систему в любой момент с минимальными усилиями.
Резюме
Как видите, есть много разнообразных методов, с помощью которых взломщик может проникнуть в систему. Большинство из них не очень сложные, однако являются только отправной точкой. Часто для взлома системы не нужно тратить много сил.
Есть много способов, с помощью которых взломщик может взломать или повредить систему. Обычно после проведения анализа он определяет самый легкий способ взлома системы и в дальнейшем использует именно его. Поскольку количество эксплоитов на данный момент очень велико, взломщику достаточно взять утилиту из набора А, скомбинировать ее с утилитой из набора Б и получить уникальный метод взлома для данной машины. Простой пример — взлом пароля. Чтобы взломать пароль, я должен получить файл паролей. Этого можно добиться разными способами. Во-первых, взломщик может произвести взлом с переполнением буфера и получить полномочия суперпользователл. Можно угадать пароль для FTP или нарушить физическую защиту. Таким образом, даже если вы защититесь от взлома одного типа, взломщик может использовать другой.