Тестирование на проникновение

Тестирование на проникновение

26.01.2022
Болезни

Проблема безопасности является вопросом первостепенной важности, а также одной из составляющих успеха компании. По этой причине руководители по информационной безопасности должны входить в число первых лиц каждой организаций. Их задача - обеспечивать соответствие стратегий защиты информации деловым интересам компании.

Выход в Интернет - это безграничные возможности, однако, после подключения мы оказываемся в огромной общей экосистеме. Важно понимать, что беда, случившаяся с одной компанией, обязательно отразится на других организациях. Происшествие может сказаться не только на непосредственных деловых партнерах пострадавшей компании, но и на организациях, действующих в совершенно других областях. Например, в случае проникновения в корпоративную сеть часто происходит утечка личных сведений (PII). Эти данные можно не только продать или использовать в мошеннических целях, но и разработать на их основе фишинговые атаки. Чем более подробными сведениями о вас располагает злоумышленник, тем более реалистично будет выглядеть поступившее от него сообщение электронной почты, которое вы наверняка откроете.

Многие из используемых в настоящее время технологий атак схожи с теми, которые применялись несколько лет назад: например, обход недостаточно надежных паролей, фишинговые атаки и загрузка вредоносного программного обеспечения с зараженных или рекламных сайтов. В то же время злоумышленники разработали более эффективные и незаметные техники проникновения в сетевые системы благодаря некоторым широко распространенным уязвимостям.

К их числу относятся социальные сети и информационные службы. Множество людей в той или иной мере пользуется социальными сетями, например Facebook , LinkedIn или сайтами интернет-знакомств. Это позволяет злоумышленникам проникать на пользовательские устройства при помощи социальной инженерии, играя на человеческих эмоциях. Принципы социальной инженерии остались теми же, но изменились направления атак. Также следует учесть тот факт, что злоумышленники используют различные методы уклонения. Они все эффективнее скрывают атаки, поэтому традиционных антивирусных программ часто недостаточно для надежной защиты.

Из числа новых технологий незаконного проникновения в корпоративные сети чаще всего используются фишинговые атаки . К фишинговым сообщениям электронной почты прикрепляются вредоносные коды или ссылки, которые на первый взгляд вызывают доверие и побуждают пользователей перейти по ним.

Еще одна используемая злоумышленниками технология - . Преступники проникают на веб-сайт и устанавливают вредоносный Java -скрипт, который перенаправляет ничего не подозревающего пользователя на другой веб-сайт, содержащий вредоносные данные (программу). Эти данные в фоновом режиме загружаются на устройство пользователя. Перед проведением целевой атаки злоумышленники тратят много месяцев на исследование веб-сайтов, часто посещаемых сотрудниками компаний, и заражение этих сайтов.

Следующая технология - вредоносная реклама . Принцип этой атаки схож со скрытой загрузкой, однако в этом случае злоумышленник заражает рекламные сайты. Один зараженный рекламный сайт в свою очередь может заразить тысячи других. Впечатляющий результат без особых усилий!

Последними по распространенности, но от этого не менее опасными являются атаки мобильных устройств . Во многом они похожи на описанные выше атаки. Отличие заключается в том, что целью этого вида атак являются мобильные устройства. Кроме того, вредоносные программы могут попадать на устройства в SMS -сообщениях или под видом других приложений, таких как игры или порнография.

После успешного проникновения в сеть пользовательского устройства, например ноутбука, настольного компьютера или мобильного устройства, злоумышленник начинает загружать вредоносное программное обеспечение и инструменты для достижения своей противоправной цели. Как правило, необходимые злоумышленникам данные находятся не на рабочих станциях, а на серверах, базах данных и в других расположениях. Ниже описаны этапы деятельности преступников после проникновения в сеть:

  • Загрузка других инструментов и вредоносных программ в целях дальнейшего заражения сети.
  • Исследование сети и поиск других серверов, содержащих данные, необходимые злоумышленникам. Поиск сервера Active Directory , содержащего все имена пользователей и пароли. В случае удачного взлома этого сервера преступники получат свободный доступ ко всем ресурсам.
  • Обнаружив данные, злоумышленники найдут и сервер дополнительного распределения информации для копирования этих данных. В идеале это сервер со стабильной работоспособностью (не подверженный сбоям) с доступом к Интернету.
  • Данные будут медленно передаваться на серверы злоумышленников, которые располагаются в облаках, что делает затруднительным блокировать передачу данных.

Находясь в сети в течение длительного времени, злоумышленники способны собрать доступные данные любых типов. Большинство корпоративных данных хранятся в электронном виде. Чем дольше злоумышленники остаются необнаруженными, тем больше они узнают о деловой активности компании и потоках данных. В качестве примера можно привести атаку Carbanak. В ходе этой атаки преступникам удалось обнаружить компьютеры администраторов, получить доступ к камерам видеонаблюдения , проследить за работой банковских служащих и зафиксировать все их действия в мельчайших подробностях. Имитируя эти действия, злоумышленники вывели деньги при помощи собственных систем.

Как я сказал ранее, проникновение в сеть часто происходит при переходе пользователя по вредоносной ссылке. Попав в сеть устройства, злоумышленники ищут необходимые им данные, перемещаясь по сети. Вот почему так важна сегментация сети . Во-первых, она снижает отрицательные последствия нарушения безопасности за счет изоляции проникших в сеть вредоносных элементов на каком-либо участке и предотвращения их распространения по сети. Также благодаря сегментации конфиденциальные данные можно переместить в область с более высоким уровнем защиты, откуда злоумышленникам будет сложнее извлечь их. И, наконец, отследить все происходящее в сети и сделать защитный периметр непроницаемым физически невозможно, так как сеть - слишком большая и сложная структура. Поэтому целесообразнее изолировать важные данные и сосредоточиться на слежении за путями подхода к этим данным.

Введение

Системы обнаружения сетевых вторжений и выявления признаков компьютерных атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем. Разработчиками систем защиты информации и консультантами в этой области активно применяются такие понятия (перенесенные из направления обеспечения физической и промышленной безопасности), как защита "по периметру", "стационарная" и "динамическая" защита, стали появляться собственные термины, например, "проактивные" средства защиты.

Исследования в области обнаружения атак на компьютерные сети и системы на самом деле ведутся за рубежом уже больше четверти века. Исследуются признаки атак, разрабатываются и эксплуатируются методы и средства обнаружения попыток несанкционированного проникновения через системы защиты, как межсетевой, так и локальной — на логическом и даже на физическом уровнях. В действительности, сюда можно отнести даже исследования в области ПЭМИН , поскольку электромагнитный тамперинг имеет свои прямые аналоги в уже ставшей обычной для рядового компьютерного пользователя сетевой среде. На российском рынке широко представлены коммерческие системы обнаружения вторжений и атак (СОА) иностранных компаний (ISS RealSecure, NetPatrol, Snort, Cisco и т.д.) и в тоже время практически не представлены комплексные решения российских разработчиков. Это вызвано тем, что многие отечественные исследователи и разработчики реализуют СОА, сохраняя аналогии архитектур и типовых решений уже известных систем, не особенно стараясь увеличить эффективность превентивного обнаружения атак и реагирования на них. Конкурентные преимущества в этом сегменте российского рынка достигаются обычно за счет существенного снижения цены и упования на "поддержку отечественного производителя".

Рисунок 2. Информационная пирамида

Верхняя часть информационной пирамиды — это риски и угрозы, присущие рассматриваемой системе. Ниже располагаются различные варианты реализаций угроз (атаки), и самый нижний уровень — это признаки атак. Конечный пользователь, равно как и система обнаружения атак, имеет возможность регистрировать только процесс развития конкретной атаки или свершившийся факт атаки по наблюдаемым характерным признакам. Признаки атаки — то, что мы реально можем зафиксировать и обработать различными техническими средствами, а следовательно, необходимы средства фиксации признаков атак.

Если данный процесс рассматривать во времени, то можно говорить, что определенные последовательности наблюдаемых признаков порождают события безопасности. События безопасности могут переводить защищаемые объекты информационной системы в небезопасное состояние. Следовательно, для системы обнаружения атак необходим информационный срез достаточной полноты, содержащий все события безопасности, произошедшие в информационной системе за рассматриваемый период. Кроме того, поднимаясь вверх по пирамиде, для события безопасности можно указать, к реализации какого вида угроз оно может привести, для того чтобы в процессе развития атаки производить прогнозирование ее развития и принимать меры по противодействию угрозам, которые может вызывать данная атака.

Методология обработки данных в современных информационных системах подразумевает повсеместное использование многоуровневости. Для СОА нового типа можно выделить следующие крупные уровни, на которых возможно осуществление доступа к обрабатываемой информации:

  1. Уровень прикладного ПО , с которым работает конечный пользователь информационной системы. Прикладное программное обеспечение зачастую имеет уязвимости, которые могут использовать злоумышленники для доступа к обрабатываемым данным ПО.
  2. Уровень СУБД. Уровень СУБД является частным случаем средств прикладного уровня, но должен выделяться в отдельный класс в силу своей специфики. СУБД, как правило, имеет свою собственную систему политик безопасности и организации доступа пользователей, которую нельзя не учитывать при организации защиты.
  3. Уровень операционной системы. Операционная система компьютеров защищаемой ИС является важным звеном защиты, поскольку любое прикладное ПО использует средства, предоставляемые именно ОС. Бесполезно совершенствовать качество и надежность прикладного ПО, если оно эксплуатируется на незащищенной ОС.
  4. Уровень среды передачи. Современные ИС подразумевают использование различных сред передачи данных для взаимосвязи аппаратных компонентов, входящих в состав ИС. Среды передачи данных являются на сегодня одними из самых незащищенных компонентов ИС. Контроль среды передачи и передаваемых данных является одной из обязательных составляющих механизмов защиты данных.

Иллюстративно уровни обработки потоков данных в информационной системе представлены на .

Рисунок 3. Уровни обработки информации в информационной системе

Исходя из вышесказанного, можно сделать вывод, что любые средства защиты информации, в том числе и системы обнаружения и предупреждения атак, обязаны иметь возможность анализировать обрабатываемые и передаваемые данные на каждом из выделенных уровней. Требование присутствия системы обнаружения атак на каждом функциональном уровне информационной системы приводит к необходимости выделения подсистемы регистрации событий безопасности в отдельный комплекс информационных зондов СОА, обеспечивающих сбор информации в рамках всей сети информационной системы. В то же время, разнородность программно-аппаратных платформ и задач, решаемых различными объектами ИС, требует применения модульной архитектуры информационных зондов для обеспечения возможности максимальной адаптации к конкретным условиям применения.

Использование знаний об угрозах ИБ для обнаружения атак на информационную систему

Угрозы информационной безопасности, как правило, каким-либо образом взаимосвязаны друг с другом. Например, угроза захвата уязвимого веб-сервера узла сети может привести к реализации угрозы полного захвата управления данным узлом, поэтому в целях прогнозирования и оценки ситуации целесообразно учитывать вероятностную взаимосвязь угроз.

Если рассмотреть U — множество угроз безопасности рассматриваемой информационной системы, то u i О U — i-я угроза. В предположении, что множество угроз конечно, будем считать, что реализация i-ой угрозы может с некоторой вероятностью приводить к возможности реализации других угроз. При этом возникает задача вычисления P(u|u i1 ,u i2 ,...,u ik) — вероятности реализации угрозы u, при условии реализации угроз u i1 ,u i2 ,...,u ik (см. ).

Рисунок 4. Вид графа зависимости угроз ИБ

Наиболее надежно атаку можно обнаружить, имея как можно более полную информацию о произошедшем событии. Как видно из предыдущих разделов, современные системы чаще всего фиксируют атаки по наличию определенной, вполне конкретной сигнатуры.

Расширив этот подход, мы можем акцентировать внимание на процесс выделения в компьютерных атаках различных этапов (фаз) их реализации. Выделение фаз атак, особенно ранних, является важным процессом, который, в конечном счете, позволяет обнаружить атаку в процессе ее развития. Однако сделать это возможно лишь определив соответствующим образом перечень угроз информационной системе, которые могут реализовываться на каждой из фаз атаки, и соответствующим образом отразив данный факт в классификации. В самом крупном приближении выделяются три основных фазы атаки: сетевая разведка, реализация, закрепление и сокрытие следов.

Анализ взаимосвязи угроз с фазами атаки и прогнозирования наиболее вероятных угроз, которые могут быть реализованы злоумышленником, является важной задачей обеспечения ИБ. Это необходимо для своевременного принятия решений по блокировке злонамеренных воздействий.

Следующим элементом концепции обнаружения атак является классификация. Вопросы классификации компьютерных атак до сих пор активно исследуются. Основная задача разработки классификации компьютерных атак состоит в том, чтобы обеспечить удобство использования данной классификации на практике. Основные требования к классификации таковы: непересекающиеся классы, полнота, применимость, объективность, расширяемость, конечность. Интересные подходы к классификации сетевых атак предложены в. Классификация угроз безопасности должна учитывать структуру и фазы проведения атаки на компьютерные системы, определять такие атрибуты как источники и цели атаки, их дополнительные характеристики, многоуровневую типизацию. Модель обнаружения вторжений должна строиться на базе разработанной классификации.

Таким образом, в перспективе необходимо решение следующих задач — определение наиболее вероятной реализации угрозы на текущий момент времени для того, чтобы иметь представление, какие последствия могут в кратчайшее время ожидать информационную систему, а также составление прогноза развития ситуации с целью определения наиболее вероятной реализации угроз в будущем.

Повышение эффективности систем обнаружения атак — интегральный подход

Вообще говоря, современные системы обнаружения вторжений и атак еще далеки от эргономичных и эффективных, с точки зрения безопасности решений. Повышение же эффективности следует ввести не только в области обнаружения злонамеренных воздействий на инфраструктуру защищаемых объектов информатизации, но и с точки зрения повседневной "боевой" эксплуатации данных средств, а также экономии вычислительных и информационных ресурсов владельца данной системы защиты.

Если же говорить непосредственно о модулях обработки данных, то, следуя логике предыдущего раздела, каждая сигнатура атаки в представленной схеме обработки информации об атаке является базовым элементом для распознавания более общих действий — распознавания фазы атаки (этапа ее реализации). Само понятие сигнатуры обобщается до некоторого решающего правила (например, с помощью поиска аномалий в сетевом трафике или клавиатурном почерке пользователя). А каждая атака наоборот разбивается на набор этапов ее проведения. Чем проще атака, тем проще ее обнаружить и больше возможностей появляется по ее анализу. Каждая сигнатура отображает определенное событие в вычислительной сетевой и локальной среде в фазовое пространство компьютерных атак. Фазы можно определить свободно, но лучше сохранять при этом достаточную степень детализации, чтобы иметь возможность описывать атаки с помощью подробных сценариев атак (списка фаз атак и переходов между ними).

Сценарий атаки в этом случае представляет собой граф переходов, в аналогичный графу конечного детерминированного автомата. А фазы атак можно описать, например, следующим образом:

  • опробование портов;
  • идентификация программных и аппаратных средств;
  • сбор баннеров;
  • применение эксплоитов;
  • дезорганизация функционала сети с помощью атак на отказ в обслуживании;
  • управление через бэкдоры;
  • поиск установленных троянов;
  • поиск прокси-серверов;
  • удаление следов присутствия;
  • и т.д. (по необходимости с различной степенью детализации).

Преимущества такого подхода очевидны — в случае раздельной обработки различных этапов атаки появляется возможность распознавать угрозу еще в процессе ее подготовки и формирования, а не на стадии ее реализации, как это происходит в существующих системах. При этом, элементной базой для распознавания может быть как сигнатурный поиск, так и выявление аномалий, использование экспертных методов и систем, доверительных отношений и прочих информационных, уже известных и реализованных, сетевых и локальных примитивов оценки происходящего в вычислительной среде потока событий.

Обобщающий подход к анализу позволяет соответственно определять и распределенные (во всех смыслах) угрозы, как во временно"м, так и логическом и физическом пространстве. Общая схема обработки поступающих событий также позволяет осуществлять поиск распределенных атак — путем последующей агрегации данных из различных источников и конструирования мета-данных об известных инцидентах по защищаемому "периметру" (см. ).

Рисунок 5. Схема интегрального обнаружения компьютерных атак

Распределенные атаки выявляются путем агрегации данных о поступающих атаках и подозрительных действиях и сопоставления шаблонов и статистической фильтрации. Таким образом, оповещение о подозрительных действиях в компьютерных системах происходит на нескольких уровнях:

  • нижний уровень сообщает о примитивных событиях (совпадении сигнатур, выявлении аномалий);
  • средний уровень извлекает информацию из нижнего уровня и агрегирует ее с помощью конечных автоматов (сценариев атак), статистического анализа и механизмов пороговой фильтрации;
  • высший уровень агрегирует информацию с двух предыдущих и позволяет выявлять обычные и распределенные атаки, их реальный источник и прогнозировать его дальнейшее поведение на основе интеллектуального анализа.

Ядро системы обнаружения компьютерных атак должно быть четко разделено с системой визуализации и сигнализации.

Для поиска сигнатур в сетевых пакетах используются правила, формирующие перечень опций (паспорт), по которым осуществляется проверка поступающих сетевых пакетов. Существующие системы (как, например, Snort или PreludeIDS, которая использует правила Snort) применяют строчный вид описаний таких правил:

Alert tcp $HOME_NET 1024:65535 ->
$EXTERNAL_NET 1024:65535
(msg:"BLEEDING-EDGE TROJAN Trojan.Win32.Qhost C&C Traffic Outbound (case1)";
flow:established;
dsize:>1000;
content:"|00 00 00 28 0a 00 00 02 0f|Service Pack 1|00|";
classtype:trojan-activity;
reference: url,/www.viruslist.com/en/viruses/ encyclopedia?virusid=142254;
sid:2007578;
rev:1;
)

Такой вид более удобен для быстрой машинной обработки, но менее пригоден для человека. Кроме того, в нем отсутствуют возможности для расширения функциональности, которые заложены в XML-подобных реализациях сигнатурных баз. Например, простая "скобочная" (от англ. brace-like) конфигурация позволяет записать ряд управляющих переменных и описать правила в гораздо более приятной и понятной визуальной форме, сохраняя возможность для легкого расширения функциональности. Так, определение фаз атак, защищаемых объектов и совершаемых в сети событий может выглядеть следующим образом:

Type_defs {
alert = 1;
warning = 2;
fail = 4;
}
srcdst_defs {
HOME_NET = 195.208.245.212
localhost = 127.0.0.1
}
proto_defs {
tcp = 1;
udp = 2;
tcp-flow = 10;
}
phase_defs {
port_scanning = 1;
exploiting = 2;
icmp_sweeping = 3;
ftp_bouncing = 4;
shell_using = 5;
dir_listing = 6;
file_opening = 7;
}

А секция определения угроз информационной безопасности может иметь основные позиции, подобные следующей:

Treat_defs = {
treat {
name = file-unauthorised-access;
id = FUAC;
msg = "message in english";
}
}

Кроме указанных в гибкой форме угроз, фаз атак и защищаемых объектов, интегральная обработка информации, связанная с выявлением угроз информационной безопасности, позволяет ввести также сервис-ориентированный подход к обнаружению атак, формируя автоматическим или ручным способом описания сетевых и локальных служб, а также приоритезируя важность, с точки зрения обеспечения должного уровня, информационной безопасности и жизнедеятельности информационной инфраструктуры сети.

Service_defs = {
service {
name = pop3;
msg = "";
rulesets = "backdoors, pop3scanners";
security_tolerance = 3
life_insurance = 5
}
}

Сами же правила выглядят, например, следующим образом:

Ruleset {
name = backdoors;
rule {
id = 0x1000;
type = alert;
proto = tcp;
src = localhost;
dst = 195.208.245.0/24:2000;
msg = "service::what is bad in this alert";
options = AP,vice_versa;
contains = "|0a0a0d03|";
phase = exploiting;
treat = file-unauthorized-access;
revision = 1;
}
}

Здесь учитываются как классические признаки события (тип события, протокол обнаружения, источник и объект воздействия, краткое сообщение), так и добавочные — фаза атаки, тип угрозы, к возникновению которой относится данное событие. При этом сами правила могут быть сгруппированы в наборы, пригодные затем для связывания их с установленными в защищаемой системе сетевыми и локальными службами.

Если же вернуться к эффективности проверки правил в системах обнаружения сетевых атак, то следует отметить следующий факт. На текущий момент все правила в системах СОА проверяются следующим образом (см. ). Проверка неоднородных правил происходит раздельно, правило за правилом, при этом однородные операции над пакетами выполняются все время порознь. Такой подход не позволяет эффективно распараллелить обработку сетевых пакетов, полностью использовать возможности нескольких конвейеров на современных процессорах, а также оптимизировать поиск частично похожих правил-сигнатур.

Однако есть минус и такого подхода, когда, например, шаблоны связаны друг с другом (вот пример такого шаблона: найти первое вхождение, затем относительно него через несколько байт проверить наличие определенной бинарной последовательности). Правда, таких правил — подавляющее меньшинство (даже если судить по общепринятым правилам популярной СОА Snort), что позволяет вынести их в отдельный класс распараллеливаемых методов и использовать в них любые простые методы последовательной проверки.

Помимо преимущества в распараллеливании процесса поиска сигнатур, становится возможным применение методов одновременного поиска многих сигнатур в сетевом потоке за один проход (можно, например, построить один большой конечный автомат для большинства шаблонов, участвующих в правилах, или использовать мультисигнатурную модернизацию алгоритма Бойера-Мура).

Экспериментальные проверки различных вариантов реализации методов одновременного поиска многих сигнатур показали, что наиболее быстрой оказывается реализация большого конечного автомата, модифицированного таким образом, чтобы он позволял "пропускать" однородные ошибки — пропуски и вставки произвольной длины, а также ошибки замены (в результате модификации сигнатуры, что является довольно частым явлением, с целью ее сокрытия от СОА).

Наиболее сложные в проверке правила (шаблоны) можно предварительно компилировать в бинарные подключаемые модули (как это сделано, например, в системе RealSecure IDS).

Заключение

Современный подход к построению систем обнаружения сетевых вторжений и выявления признаков компьютерных атак на информационные системы полон недостатков и уязвимостей, позволяющих, к сожалению, злонамеренным воздействиям успешно преодолевать системы защиты информации. Переход от поиска сигнатур атак к выявлению предпосылок возникновения угроз информационной безопасности должен способствовать тому, чтобы в корне изменить данную ситуацию, сократив дистанцию отставания в развитии систем защиты от систем их преодоления.

Кроме того, такой переход должен способствовать повышению эффективности управления информационной безопасностью и, наконец, более конкретным примерам применения нормативных и руководящих документов уже ставших стандартами.

Еще один способ получения пароля - это внедрение в чужой компьютер «троян-ского коня». Так называют резидентную программу, работающую без ведома хозяи-на данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа-«троянский конь» всегда маскируется под какую-нибудь полезную ути-литу или игру, а производит действия, разрушающие систему. По такому прин-ципу действуют и программы-вирусы, отличительной особенностью которых яв-ляется способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой испол-няемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя - этот тип угроз исходит от ле-гальных пользователей сети, которые, используя свои полномочия, пытаются вы-полнять действия, выходящие за рамки их должностных обязанностей. Напри-мер, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, до-ступ к которой администратору сети запрещен. Для реализации этих ограниче-ний могут быть предприняты специальные меры, такие, например, как шифрова-ние данных, но и в этом случае администратор может попытаться получить дос-туп к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по-ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

«Подслушиванием внутрисетевого трафика - это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно три-виальной. Еще более усложняется защита от этого типа угроз в сетях с глобаль-ными связями. Глобальные связи, простирающиеся на десятки и тысячи кило-метров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумыш-ленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зави-сит от того, используются собственные, арендуемые каналы или услуги общедос-тупных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интерне-те) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опас-ность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного про-никновения в компьютер. Это представляет постоянную угрозу для сетей, под-соединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного об-мена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недос-| татки, злоумышленники все чаще предпринимают попытки несанкционирован-ного доступа к информации, хранящейся на узлах Интернета.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В со-ответствии с этим подходом прежде всего необходимо осознать весь спектр воз-можных угроз для конкретной сети и для каждой из этих угроз продумать тактику. ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - морально-этические и законодательные, административ-ные и психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирова-ния программ в настоящее время в основном используются меры воспитатель-ного плана, необходимо внедрять в сознание людей аморальность всяческих по-кушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируют-ся правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защи-ту информации, составляющей государственную тайну, обеспечение прав потре-бителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Административные меры - это действия, предпринимаемые руководством пред-приятия или организации для обеспечения информационной безопасности. К та-ким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго опре-деляющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предпри-ятием средств безопасности. Представители администрации, которые несут от-ветственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российски-ми тестирующими организациями.

Психологические меры безопасности могут играть значительную роль в укрепле-нии безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к на-рушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны ме-нять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумыш-ленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удален-ных пользователей не исключено, что такой простой психологический прием мо-жет сработать.

К физическим средствам защиты относятся экранирование помещений для защи-ты от излучения, проверка поставляемой аппаратуры на соответствие ее специ-фикациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находят-ся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутен-тификации и авторизации, аудит, шифрование информации, антивирусную за-щиту, контроль сетевого графика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на сле-дующие вопросы:

  • Какую информацию защищать?
  • Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?
  • Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?
  • Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику без-опасности, должны учитывать несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того ми-нимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нару-шений в области безопасности предприятий исходит именно от собственных со-трудников, важно ввести четкие ограничения для всех пользователей сети, не на-деляя их излишними возможностями.

Следующий принцип - использование комплексного подхода к обеспечению без-опасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппара-туры. Административный запрет на работу в воскресные дни ставит потенциаль-ного нарушителя под визуальный контроль администратора и других пользовате-лей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером, встроенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает ве-роятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надеж-ности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уров-не отдельных файлов, но имеется возможность получить жесткий диск и устано-вить его на другой машине, то все достоинства средств защиты файловой систе-мы сводятся на нет. Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность свя-зываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на бранд-мауэр, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование средств, кото-рые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следова-ло бы признать устройство, которое бы при отказе пропускало в сеть весь внеш-ний трафик.

Принцип единого контрольно-пропускного пункта - весь входящий во внутрен-нюю сеть и выходящий во внешнюю сеть трафик должен проходить через един-ственный узел сети, например через межсетевой экран (firewall ). Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независи-мый выход во внешнюю сеть, очень трудно скоординировать правила, ограничи-вающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно - права внешних клиентов по доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее пре-дотвращение. Ни одна система безопасности не гарантирует защиту данных нг уровне 100 %, поскольку является результатом компромисса между возможны-ми рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной за-трат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стан-дартных средств фильтрации обычного маршрутизатора, в других же можно пой-ти на беспрецедентные затраты. Главное, чтобы принятое решение было обосно-вано экономически.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресур-сам внутренней сети компании.

Политика доступа к сетевым службам Интернета включает следующие пункты:

  • Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
  • Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol ) и РРР (Point -to -Point Proto -col ). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа к Интернету в сети устанавлива-ется специальный шлюз, который не дает возможности пользователям рабо-тать в системе WWW , они могут устанавливать с Web-серверами РРР-соеди-нения по коммутируемой линии. Во избежание этого надо просто запретить использование протокола РРР.
  • Принятие решения о том, разрешен ли доступ внешних пользователей из Ин-тернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают толь-ко для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

· запрещать все, что не разрешено в явной форме;

· разрешать все, что не запрещено в явной форме.

В соответствии с выбранным принципом определяются правила обработки внеш-него графика межсетевыми экранами или маршрутизаторами. Реализация защи-ты на основе первого принципа дает более высокую степень безопасности, одна-ко при этом могут возникать большие неудобства у пользователей, а кроме того, такой способ защиты обойдется значительно дороже. При реализации второго принципа сеть окажется менее защищенной, однако пользоваться ею будет удоб-нее и потребуется меньше затрат.



В этой части описана техника взлома компьютеров Windows 2000/XP в сетях TCP/IP. В уроке 1 мы обсуждали методы и средства, применяемые хакерами для проникновения в компьютерную систему организации. Там мы указали, что для реализации такой задачи хакер может воспользоваться локальным доступом, скажем, для элементарной кражи оборудования, например, жесткого диска, или взломать систему удаленно. Удаленное проникновение можно выполнить либо изнутри локальной сети, подсоединив к сетевому кабелю компьютер с хакерским программным обеспечением, либо извне - воспользовавшись Интернетом или телефонной линией с модемом. Угрозы локального проникновения и атаки из Интернета мы обсудили в предыдущих главах, а в этой части книги мы сконцентрируем внимание на атаках компьютеров Windows 200/XP изнутри локальной сети. Мы рассмотрим уязвимости протоколов TCP/IP, средств удаленного администрирования, брандмауэров, сетевых соединений.

Хакинг компьютеров Windows 2000/XP

Итак, хакеру удалось подсоединиться к локальной сети, воспользовавшись каким-то заброшенным (чужим) компьютером, или нелегально подсоединиться к сетевому кабелю, проходящему где-то в подвале, применив специальное устройство. Впрочем, все это, как правило, излишне - при царящем в нынешних локальных сетях хаосе достаточно получить доступ к обычному сетевому компьютеру - и далее все зависит от вас. Итак, хакер получил доступ к локальной сети и теперь хочет получить доступ к информационным ресурсам сетевых хостов. Как же он может это сделать?

Далее работа утилит хакинга иллюстрируется на примере нашей экспериментальной сети TCP/IP, которую мы использовали на протяжении всей книги. Эта сеть позволит продемонстрировать набор технических приемов хакинга сетей TCP/IP без нарушения чьих-либо прав на конфиденциальность информации. Автор категорически настаивает на неприменении описанных далее средств к реальным сетям и предупреждает о возможной ответственности.

В Главе 1 мы описали все этапы хакерского нападения и указывали, что хакер вначале попытается узнать все что только можно об организации атакуемой сети и применяемых в ней сетевых технологиях. В этой главе мы опустим этап предварительного сбора данных - он достаточно подробно описан в Главе 12 применительно к задачам хакинга Web-сайтов. Вместо этого мы поподробнее рассмотрим все последующие этапы сетевой атаки, которые, собственно, и делают хакинг таким «интересным» занятием. Как указывалось в Главе 1, первое, что должен сделать хакер для проникновения в сеть - это выполнить ее сканирование и инвентаризацию.

Сканирование сети TCP/IP

Сканирование преследует цель определение IP-адресов хостов атакуемой сети, и для выполнения сканирования можно воспользоваться утилитой ping из набора средств, представленных в пакете W2RK (Windows 2000 Resource Pack). Эта утилита посылает сетевым хостам с IP-адресами в заданном диапазоне пакеты протокола ICMP (Internet Control Message Protocol - Протокол управляющих сообщений в сети Интернет). Если в ответ на посланный пакет приходит ответ - значит по соответствующему адресу находится сетевой хост. На Рис. 1 представлен результат сканирования утилитой ping хоста Sword-2000 .

Рис. 1. Результат сканирования хоста Sword-2000 утилитой ping

Из результата видно, что компьютер по указанному адресу подключен к сети и соединение работает нормально. Это самый простой способ сканирования сети, однако, он не всегда приводит к нужным результатам, поскольку многие узлы блокируют ответную отправку пакетов ICMP с помощью специальных средств защиты. Если обмен данными по протоколу ICMP заблокирован, хакерами могут быть использованы другие утилиты, например, hping (http://www.hping.org/ ). Эта утилита способна фрагментировать (т.е. делить на фрагменты) пакеты ICMP, что позволяет обходить простые устройства блокирования доступа, которые не умеют делать обратную сборку фрагментированных пакетов.

Другой способ обхода блокирования доступа - сканирование с помощью утилит, позволяющих определить открытые порты компьютера, что в ряде случаев способно обмануть простые системы защиты. Примером такой утилиты является SuperScan (http://www.foundstone.com ), которая предоставляет пользователям удобный графический интерфейс (см. Рис. 2).

Рис. 2. Результаты сканирования сети утилитой SuperScan 3.0

На Рис. 2 приведен результат сканирования сети в диапазоне IP-адресов 192.168.0.1-192.168.0.100 . Обратите внимание на древовидный список в нижней части окна, отображающий список всех открытых портов компьютера Ws7scit1xp , среди которых - любимый хакерами TCP-порт 139 сеансов NetBIOS. Запомнив это, перейдем к более детальному исследованию сети - к ее инвентаризации.

Инвентаризация сети

Инвентаризация сети заключается в определении общих сетевых ресурсов, учетных записей пользователей и групп, а также в выявлении приложений, исполняемых на сетевых хостах. При этом хакеры очень часто используют следующий недостаток компьютеров Windows NT/2000/XP - возможность создания нулевого сеанса NetBIOS с портом 139.

Нулевой сеанс

Нулевой сеанс используется для передачи некоторых сведений о компьютерах Windows NT/2000, необходимых для функционирования сети. Создание нулевого сеанса не требует выполнения процедуры аутентификации соединения. Для создания нулевого сеанса связи выполните из командной строки Windows NT/2000/XP следующую команду.

net use \\1.0.0.1\IPC$ "" /user: ""

Здесь 1.0.0.1 - это IP-адрес атакуемого компьютера Sword-2000 , IPC$ - это аббревиатура Inter-Process Communication - Межпроцессное взаимодействие (название общего ресурса сети), первая пара кавычек "" означает использование пустого пароля, а вторая пара в записи /user:"" указывает на пустое имя удаленного клиента. Подключившийся по нулевому сеансу анонимный пользователь по умолчанию получает возможность запускать диспетчер пользователей, применяемый для просмотра пользователей и групп, исполнять программу просмотра журнала событий. Ему также доступны и другие программы удаленного администрирования системой, опирающиеся на протокол SMB (Server Message Block - Блок сообщений сервера). Более того, подсоединившийся по нулевому сеансу пользователь имеет права на просмотр и модификацию отдельных разделов системного реестра.

В ответ на ввод вышеприведенной команды, не защищенный должным образом компьютер отобразит сообщение об успешном подключении; в противном случае отобразится сообщение об отказе в доступе. В нашем случае появится сообщение об успешном выполнении соединения компьютера Alex-З (система Windows XP) с компьютером Sword-2000 (система Windows 2000). Однако нулевой сеанс Sword-2000 с Alex-З уже не получается - очевидно, разработчики Windows XP учли печальный опыт «использования» нулевого сеанса в системах Windows 2000, которые, по умолчанию, позволяли нулевые сеансы.

Нулевые сеансы связи используются всеми утилитами инвентаризации сетевых ресурсов компьютеров Windows NT/2000/XP. Самый простой метод инвентаризации состоит в использовании утилит net view и nbtstat из пакета W2RK. Утилита net view позволяет отобразить список доменов сети.

В результате отобразилось название рабочей группы SWORD. Если указать найденное имя домена, утилита отобразит подсоединенные к нему компьютеры.

А теперь определим зарегистрировавшегося на данный момент пользователя серверного компьютера Sword-2000 и запущенные на компьютере службы. С этой целью применим утилиту nbtstat; результат ее применения представлен на Рис. 3.

Рис. 3. Утилита nbtstat определила пользователей и службы компьютера А1ех-3

На Рис. 3 отображена таблица, в которой первый столбец указывает имя NetBIOS, вслед за именем отображен код службы NetBIOS. В частности, код <00> после имени компьютера означает службу рабочей станции, а код <00> после имени домена - имя домена. Код <03> означает службу рассылки сообщений, передаваемых вошедшему в систему пользователю, имя которого стоит перед кодом <03> - в данном случае, Administrator. На компьютере также запущена служба браузера MSBROWSE, на что указывает код <1 Е> после имени рабочей группы SWORD.

Итак, у нас уже имеется имя пользователя, зарегистрированного в данный момент на компьютере - Administrator. Какие же общие сетевые ресурсы компьютера Sword-2000 он использует? Снова обратимся к процедуре net view, указав ей имя удаленного компьютера. Результаты представлены на Рис. 4.

Рис. 4. Общие ресурсы компьютера Sword-2000

Как видим, учетная запись пользователя Administrator открывает общий сетевой доступ к некоторым папкам файловой системе компьютера Sword-2000 и дисководу CD-ROM. Таким образом, мы уже знаем о компьютере достаточно много - он разрешает нулевые сеансы NetBIOS, на нем работает пользователь Administrator, открыты порты 7, 9, 13, 17, 139, 443, 1025, 1027 компьютера, и в число общесетевых ресурсов входят отдельные папки локального диска С:. Теперь осталось только узнать пароль доступа пользователя Administrator - и в нашем распоряжении будет вся информация на жестком диске С: компьютера. Чуть ниже мы покажем, как для этого используется утилита pwdump3.exe удаленного извлечения паролей из системного реестра Windows NT/2000/XP и программа LC4 их дешифрования.

А что можно сделать, если протокол NetBIOS через TCP/IP будет отключен (компьютеры Windows 2000/XP предоставляют такую возможность)? Существуют и другие средства инвентаризации, например, протокол SNMP (Simple Network Management Protocol - Простой протокол сетевого управления), обеспечивающий мониторинг сетей Windows NT/2000/XP.

А сейчас, после того, как мы собрали сведения об атакуемой системе, перейдем к ее взлому.

Реализация цели

Исполнение атаки на системы Windows NT/2000/XP состоит из следующих этапов.

Проникновение в систему, заключающееся в получении доступа.

Расширение прав доступа, состоящее во взломе паролей учетных записей с большими правами, например, администратора системы.

Выполнение цели атаки - извлечение данных, разрушение информации и т.д.

Проникновение в систему

Проникновение в систему начинается с использования учетной записи, выявленной на предыдущем этапе инвентаризации. Для определения нужной учетной записи хакер мог воспользоваться командой nbtstat или браузером MIB, или какими-либо хакерскими утилитами, в изобилии представленными в Интернете. Выявив учетную запись, хакер может попробовать подсоединится к атакуемому компьютеру, используя ее для входной аутентификации. Он может сделать это из командной строки, введя такую команду.

D:\>net use \\1.0.0.1\IPCS * /urAdministrator

Символ «*» в строке команды указывает, что для подключения к удаленному ресурсу IPC$ нужно ввести пароль для учетной записи Administrator. В ответ на ввод команды отобразится сообщение:

Type password for\\1.0.0.1\IPC$:

Ввод корректного пароля приводит к установлению авторизованного подключения. Таким образом, мы получаем инструмент для подбора паролей входа в компьютер - генерируя случайные комбинации символов или перебирая содержимое словарей, можно, в конце концов, натолкнуться на нужное сочетание символов пароля. Для упрощения подбора существуют утилиты, которые автоматически делают все эти операции, например, SMBGrind, входящая в коммерческий пакет CyberCop Scanner компании Network Associates. Еще один метод - создание пакетного файла с циклическим перебором паролей.

Однако удаленный подбор паролей - далеко не самое мощное орудие взлома. Все современные серверы, как правило, снабжены защитой от многократных попыток входа со сменой пароля, интерпретируя их как атаку на сервер. Для взлома системы защиты Windows NT/2000/XP чаще используется более мощное средство, состоящее в извлечении паролей базы данных SAM (Security Account Manager -Диспетчер учетных данных системы защиты). База данных SAM содержит шифрованные (или, как говорят, хешированные) коды паролей учетных записей, и они могут быть извлечены, в том числе удаленно, с помощью специальных утилит. Далее эти пароли дешифруются с помощью утилиты дешифрования, использующей какой-либо метод взлома, например, «грубой силой», либо словарной атакой, путем перебора слов из словаря.

Наиболее известной утилитой дешифрования, применяемой для взлома паролей SAM, является программа LC4 (сокращение от названия LOphtcrack, новейшая версия - LC4) (http://www.atstake.com/research/redirect.html ), которая действует в паре с такими утилитами.

Samdump - извлечение хешированных паролей из базы данных SAM.

Pwdump - извлечение хешированных паролей из системного реестра компьютера, включая удаленные системы. Эта утилита не поддерживает усиленное шифрование Syskey базы SAM (подробнее о Syskey см. Главу 4).

Pwdump2 - извлечение хешированных паролей из системного реестра, в котором применено шифрование Syskey. Эта утилита поддерживает работу только с локальными системами.

Pwdump3 - то же, что и Pwdump2, но с поддержкой удаленных систем.

Что такое шифрование Syskey, мы подробно обсудили в Главе 4; здесь укажем, что это средство усиленного шифрования базы SAM, которое устанавливается в системах Windows 2000/XP по умолчанию, а для систем Windows NT должно быть установлено как дополнительная возможность.

В Главе 4 было описано, как следует извлекать пароли из локального системного реестра, сейчас же рассмотрим, как эта операция выполняется удаленно. Для извлечения хешированных паролей из компьютера Sword-2000 применим утилиту Pwdimp3, запустив ее из командной строки:

C:\>pwdump3 sword-2000 > password.psw

Здесь в командной строке указан целевой компьютер Sword-2000 , а далее задано перенаправление вывода извлеченных данных в файл с именем password.psw. Содержимое полученного в результате файла представлено в окне приложения Блокнот (Notepad) (Рис. 5).

Рис. 5. Результат извлечения хешированных паролей из компьютера Sword-2000

Как видим, в файле password.psw содержится учетная запись Administrator, которую мы нашли на этапе инвентаризации. Чтобы расшифровать пароли, следует применить программу LC4, и, хотя пробная версия этой программы поддерживает только дешифрование паролей методом словарной атаки, мы все же сможем взломать пароли компьютера Sword-2000 (Рис. 6).

Рис. 6. Дешифрование паролей, удаленно извлеченных из реестра компьютера Sword-2000

Для этого потребовалось всего несколько секунд работы компьютера с процессором Celeron 1000 МГц, поскольку пароль 007 состоит всего из трех цифр и очень слаб. Применение более сложных паролей значительно повышает крипто-стойкость системы, и их взлом может потребовать неприемлемого увеличения времени работы приложения LC4.

Таким образом, хакер, имея одну небольшую зацепку - возможность создания нулевых сеансов подключения NetBIOS к компьютеру - в принципе, сможет получить пароли учетных записей компьютера, включая администратора системы. Если же ему не удастся сразу получить пароль учетной записи с большими правами, хакер постарается расширить свои права доступа.

Расширение прав доступа и реализация aтaku

Для расширения прав доступа к системе взломщики используют самые разнообразные методы, но основное их отличие - необходимость внедрения в компьютер специальной программы, позволяющей выполнять удаленное управление системой, в том числе регистрацию действий пользователя. Цель - овладение учетной записью, позволяющей получить максимально широкий доступ к ресурсам компьютера. Для этого на атакуемый компьютер могут быть внедрены так называемые клавиатурные шпионы - программы, регистрирующие нажатия клавиш. Все полученные данные записываются в отдельный файл, который далее может быть отослан на компьютер взломщика по сети.

В качестве примера клавиатурного шпиона можно назвать популярный регистратор Invisible Key Logger Stealth (IKS) (http://www.amecisco.com/iksnt.htm ). Кейлоггер IKS - пример пассивного трояна, который работает сам по себе и не обеспечивает своему хозяину средств удаленного управления.

Другой вариант действий хакера - помещение в систему активного трояна, т.е., например, популярного троянского коня NetBus (http://www.netbus.org ) или В02К (Back Orifice 2000) (http://www.bo2k.com ), которые обеспечивают средства скрытого удаленного управления и мониторинга за атакованным компьютером.

Утилиты NetBus и ВО2К позволяют реализовать одну из важнейших целей хакерской атаки - создание в удаленной системе потайных ходов. Прорвавшись один раз в компьютер жертвы, хакер создает в нем множество дополнительных «потайных» ходов. Расчет строится на том, что пока хозяин компьютера ищет и находит один ход, хакер с помощью пока еще открытых ходов создает новые потайные ходы, и так далее. Потайные ходы - крайне неприятная вещь, избавиться от них практически невозможно, и с их помощью взломщик получает возможность делать на атакованном компьютере что угодно - следить за деятельностью пользователя, изменять настройки системы, а также делать ему всякие гадости типа насильственной перезагрузки системы или форматирования жестких дисков.

В качестве примера троянского коня рассмотрим работу старого, заслуженного троянского коня NetBus, разработанного группой хакеров cDc (Cult of the Dead Cow - Культ мертвой коровы).

Приложение NetBus

Приложение NetBus относится к числу клиент-серверных программ, т.е. одна его часть, серверная, устанавливается на атакуемом компьютере, а другая часть, клиентская, на компьютере хакера. Инсталляция приложения, выполняемая на локальном компьютере, не вызывает проблем. В диалоге мастера установки следует указать требуемый компонент - серверный или клиентский, после чего происходит его загрузка на компьютер. Скрытая, удаленная, установка сервера на атакованном компьютере и запуск серверной программы - это задача посложнее, и мы ее отложим. Вначале рассмотрим работу приложения NetBus на примере двух наших сетевых компьютеров: клиента - компьютер Ws7scit1xp (IP-адрес 192.168.0.47), и сервера - компьютер Ws6scit1xp (IP-адрес 192.168.0.46).

Для успешной работы троянского коня NetBus на атакуемом компьютере вначале требуется запустить серверный компонент приложения, называемый NBSvr (настоящие хакеры должны ухитриться сделать это удаленно). При запуске программы NBSvr отображается диалог, представленный на Рис. 7.

Рис. 7. Диалог сервера NetBus

Перед использованием сервера NetBus утилиту NBSvr необходимо настроить. Для этого выполните такую процедуру.

В диалоге NB Server (Сервер NB) щелкните на кнопке Settings (Параметры). На экране появится диалог Server Setup (Параметры сервера), представленный на Рис. 8.

Рис. 8. Диалог настройки сервера NetBus

Установите флажок Accept connections (Принимать соединения).

В поле Password (Пароль) введите пароль доступа к серверу NetBus .

Из открывающегося списка Visibility of server (Видимость сервера) выберите пункт Full visible (Полная видимость), что позволит наблюдать за работой сервера NetBus (но для работы лучше выбрать полную невидимость).

В поле Access mode (Режим доступа) выберите Full access (Полный доступ), что позволит делать на компьютере Ws7scit1xp все возможные операции удаленного управления.

Установите флажок Autostart every Windows session (Автозагрузка при каждом сеансе работы с Windows), чтобы сервер автоматически загружался при входе в систему.

Щелкните мышью на кнопке ОК . Сервер готов к работе. Теперь настроим работу клиента - утилиту NetBus.exe .

Запустите утилиту NetBus.exe , после чего отобразится окно NetBus 2.0 Pro , представленное на Рис. 9.

Рис. 9. Рабочее окно клиента NetBus

Выберите команду меню Host * Neighborhood * Local (Хост * Соседний хост * Локальный). Отобразится диалог Network (Сеть), представленный на Рис. 10.

Рис. 10. Диалог выбора хоста для подключения клиента NetBus

Щелкните на пункте Microsoft Windows Network (сеть Microsoft Windows) и откройте список сетевых хостов (Рис. 11).

Рис. 11. Диалог выбора серверного хоста для подключения

Выберите компьютер с установленным сервером NetBus, в нашем случае Ws7scit1xp , и щелкните на кнопке Add (Добавить). На экране появится диалог Add Host (Добавить хост), представленный на Рис. 12.

Рис. 12. Диалог добавления нового хоста - сервера NetBus

В поле Host name/IP (Имя хоста/IP) введите IP-адрес серверного хоста 192.168.0.46.

В поле User name (Имя пользователя) введите имя взломанной учетной записи Administrator , а в поле Password (Пароль) - дешифрованный утилитой LC4 пароль 007 .

Щелкните на кнопке ОК . На экране отобразится диалог Network (Сеть).

Закройте диалог Network (Сеть), щелкнув на кнопке Close (Закрыть). На экране отобразится окно NetBus 2.0 Pro с записью добавленного хоста (Рис. 13).

Рис. 13. Окно NetBus 2.0 Pro с записью добавленного хоста - сервера NetBus

Чтобы подсоединиться к хосту Ws7scit1xp , щелкните правой кнопкой мыши на пункте списка Ws7scit1xp и из отобразившегося контекстного меню выберите команду Connect (Подсоединить). В случае успеха в строке состояния окна NetBus 2.0 Pro отобразится сообщение Connected to 192.168.0.46 (v.2.0) (Подключен к 192.168.0.46 (v.2.0)).

После успешного соединения с серверным компонентом NetBus хакер, используя инструменты клиента NetBus, может сделать с атакованным компьютером все что угодно. Практически ему будут доступны те же возможности, что и у локального пользователя Administrator. На Рис. 14 представлен список инструментов клиента NetBus, отображенный в меню Control (Управление).

Рис. 14. Меню Control содержит обширный список инструментов управления удаленным хостом

Среди этих инструментов отметим средства, собранные в подменю Spy functions (Средства шпионажа) и содержащие такие полезные инструменты, как клавиатурный шпион, перехватчики экранных изображений и информации, получаемой с видеокамеры, а также средства записи звуков. Таким образом, проникший в ваш компьютер хакер может подглядывать, подслушивать и прочитывать все, что вы видите, говорите или вводите с клавиатуры компьютера. И это еще не все! Хакер может модифицировать системный реестр компьютера Sword-2000 , запускать любые приложения и перезагружать удаленную систему Windows, не говоря уж о возможностях просмотра и копирования любых документов и файлов.

Как уже упоминалось, описанная в этом разделе утилита сервера NetBus, так же как и описанный в предыдущем разделе клавиатурный шпион IKS, требуют предварительного запуска на атакуемом компьютере. Последняя задача составляет целую отдельную область хакинга и заключается в поиске открытых по недосмотру каталогов информационного сервера IIS, а также в использовании методов «социальной инженерии», применяемых для внедрения в компьютер троянских коней или вирусов. (Подробнее методы «социальной инженерии» рассматриваются на протяжении всей книги).

Coкpытие следов

Аудит, несомненно, является одним из наиболее серьезных средств защиты от хакинга компьютерной системы, и отключение средств аудита - одна из первых операций, которую выполняют хакеры при взломе компьютерной системы. Для этого применяются различные утилиты, позволяющие очистить журнал регистрации и/или отключить аудит системы перед началом «работы».

Для отключения аудита хакеры могут открыть консоль ММС и отключить политику аудита, воспользовавшись средствами операционной системы. Другим, более мощным средством, является утилита auditpol.exe комплекта инструментов W2RK. С ее помощью можно отключать (и включать) аудит как локального, так и удаленного компьютера. Для этого следует из командной строки ввести такую команду.

C:\Auditpol>auditpol \\sword-2000 /disable

На экране появятся результаты работы:


Параметр команды \\sword-2000 - это имя удаленного компьютера, а ключ /disable задает отключение аудита на этом компьютере. Утилита auditpol.exe - весьма эффективное средство, созданное для управления сетевыми ресурсами, но также, как видим, весьма удобный инструмент хакинга. Чтобы познакомиться с ее возможностями, достаточно ввести команду auditpol /? , после чего на экране отобразится справочная информация по применению утилиты. В частности, эта утилита позволяет включать/отключать аудит базы данных SAM, что является предпосылкой использования утилиты pwdump3.exe для извлечения паролей из базы SAM.

Очистку журналов безопасности можно выполнить либо с помощью утилиты просмотра журналов Windows 2000/XP, либо с помощью специальных утилит (как правило, используемых хакерами). В первом случае следует выполнить следующие действия.

Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка * Панель управления (Settings * Control Panel).

В отобразившейся панели управления откройте папку Администрирование (Administrative Tools).

Дважды щелкните на аплете Управление компьютером (Computer Management). На экране появится диалог консоли ММС.

Последовательно откройте папки Служебные программы * Просмотр событий (System Tools * Event Viewer).

Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню.

Выберите команду контекстного меню Стереть все события (Clear all Events). На экране появится диалог Просмотр событий (Event Viewer) с предложением сохранить журнальные события в файле.

Щелкните на кнопке Нет (No), если вам больше не требуются зафиксированные в журнале события. Журнал будет очищен.

При выполнении операции очистки журнала безопасности обратите на характерную особенность. При очистке журнала безопасности из него удаляются все события, но сразу устанавливается новое событие - только что выполненная очистка журнала аудита! Таким образом, хакер все же оставит свой след - пустой журнал с зафиксированным событием очистки журнала. Посмотрим, не помогут ли нам в таком случае хакерские утилиты.

Попробуем применить утилиту очистки журнала событий elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm ). Эта утилита предназначена в первую очередь для очистки журналов Windows NT 4, но ее последняя версия работает и с системой Windows 2000. Вот как она запускается из командной строки.

C:\els004>elsave -s \\sword-2000 -С

Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события журнала в файл. (Ввод команды elsave /? приводит к отображению справки, и вы можете сами испытать эффективность всех предлагаемых возможностей). Проверка показывает, что отмеченный выше недостаток остался - применение утилиты elsave.exe регистрируется в журнале безопасности как событие очистки журнала, подобно применению команды очистки журнала средствами аплета Управление компьютером (Computer Management).

Как защититься от всех этих утилит? Следует убрать из компьютера (или замаскировать) все утилиты комплекта W2RK, установить аудит базы данных SAM, системного реестра и всех важных ресурсов системы. После этого следует регулярно просматривать журнал безопасности. Выявление непонятных событий очистки журнала безопасности или доступа к защищенным ресурсам поможет навести на след хакера.

Заключение

Сетевой хакинг компьютеров - это очень распространенное занятие хакеров. Однако, как мы видим, занятие это весьма трудоемкое, и при желании выявить такого рода манипуляции достаточно просто. Для этого достаточно воспользоваться шаблонами безопасности Windows и загрузить шаблон защиты сервера. Другие меры пассивной обороны состоят в настройке системы защиты Windows, брандмауэров и систем IDS. В особых случаях антихакер может также прибегнуть к выявлению хакера его же методами, поскольку системы IDS, как правило, способны выявлять IP-адрес нарушителя (например, это делает программа BlacklCE Defender). Однако антихакеру следует учесть, что проникая в компьютер хакера, он сам уподобляется противнику, так что нелишней мерой будет использование прокси-серверов и других средств маскировки.

Безопасность в сети Интернет

Каждый пользователь, будь то частное лицо или предприятие, обязательно обладает уникальной с его точки зрения информацией. Предприятие может быть и коммерческой структурой, и государственным, муниципальным или бюджетным учреждением, но во всех случаях его деятельность так или иначе обеспечивается компьютерной сетью. И необходимость обеспечения информационной безопасности компьютерной сети не вызывает сомнений.

Источники угроз и возможные последствия

Источники угроз для сети могут быть как внешними, так и внутренними. Очевидным внешним источником является интернет. Даже если пользователи локальной сети не имеют прямого доступа к интернету, они могут использовать почтовые сервисы и получать информацию извне, безопасность которой не гарантирована. Строго говоря, интернет не источник угрозы, а среда, посредством которой вредоносная информация попадает в локальную сеть. Инициаторами угроз могут быть недобросовестные партнеры, криминальные или, напротив, силовые структуры, хакеры, даже технический персонал провайдера. Внутренняя опасность состоит в сознательном внедрении, или создании условий для внедрения вредоносного ПО сотрудниками предприятия. Иерархический уровень сотрудника тут не имеет практически никакого значения. Как внутренний потенциальный источник угрозы нужно рассматривать используемые некачественные или устаревшие аппаратные и программные средства обработки информации — уязвимость этих составляющих способна свести на нет безопасность компьютерной сети.

Последствия недостаточной защиты данных в сети многообразны — кража, уничтожение или распространение конфиденциальной информации (коммерческой тайны), персональных данных, подмена информации, блокирование доступа к ней, ограничение функциональности или полная остановка корпоративной сети. Последнее приводит к фактической остановке бизнес-процессов.

Варианты защиты

Защита компьютерных сетей совершенно необходима. Нужно понимать, что угроза безопасности того или иного масштаба существует всегда. А будет она реализована или нет, зависит от того, как сеть организована и какие методы защиты локальной сети используются. Система защиты ЛВС становится надежной, когда в ней применяется аппаратная часть достаточной производительности и качественное программное обеспечение с прозрачным управлением — пользователь должен понимать, что и для чего он делает. В случае с корпоративной сетью адекватным решением является аппаратный межсетевой экран . Вкупе с установленной программой Интернет Контроль Сервер (ИКС) реализуется комплексное противостояние внешним и внутренним угрозам. Трафик (в т.ч. и внутренний), проходящий через сетевой шлюз, непрерывно анализируется встроенными средствами защиты компьютерной сети. Модуль DLP фильтрует возможные утечки информации, потоковый антивирус определяет вредоносное ПО еще до его проникновения на компьютеры сети. Детектор атак Suricata фиксирует потенциально вредоносную активность в сети. Монитор соединений показывает потоки трафика от каждого клиента. Множество составляющих безопасности сети легко настраиваются, их работа становится ясна даже неспециалисту, управлять такой программой легко.

Именно высокий уровень безопасности локальной сети делает из множества взаимодействующих компьютеров рабочую среду, позволяющую предприятию нормально функционировать. Программа для защиты сети должна быть сложной и современной внутри, но простой и понятной на уровне взаимодействия с пользователем.

Что такое ИКС?



Статьи по теме
Еще статьи из этой рубрики
Коды на гта санандрес неуловимый Коды на гта санандрес неуловимый
Учет инвестиций в ассоциированные компании Инвестиции в дочерние общества Учет инвестиций в ассоциированные компании Инвестиции в дочерние общества
Формула расчета прибыли от продаж Формула расчета прибыли от продаж
Роялти (Royalty) - это Договор роялти Роялти (Royalty) - это Договор роялти
Существующая практика: оценки соглашений с переменными условиями Существующая практика: оценки соглашений с переменными условиями
Как я начал бизнес по грузовым перевозкам Свои вагоны бизнес Как я начал бизнес по грузовым перевозкам Свои вагоны бизнес

© 2024 yanaorgo.ru - Сайт о массаже. В здоровом теле, здоровый дух