PDA

Просмотр полной версии : 7 шагов хакера по взлому крупных сетей



SDA
11.10.2005, 19:28
Взлом больших сетей - непростая задача, требующая использования специальных методов, учитывающая способы построения максимально защищенных сетей. Для эффективной защиты от возможных атак необходимо учитывать все возможные пути проникновения в сеть, чтобы свести шансы хакеров на успех к минимуму.

Уязвимости для хакинга

Каждый, кто подключен к интернету, становится уязвимым для хакера. Типичный пример – «троянский конь», который обследует компьютер или заражает его вирусом. Антивирусные программы, межсетевые экраны и общие меры безопасности - это то, что используется большинством провайдеров, предприятиями и домашними пользователями, чтобы минимизировать опасность и сделать ПК, вебсайты и серверы как можно менее привлекательными для потенциальных хакеров. Принимая во внимание побуждения хакеров, нетрудно предположить, что вероятность хакерских атак возрастает с увеличением активности в интернете. Например, домашние пользователи, подключающиеся к интернету время от времени, не могут быть приоритетной целью. В порядке убывания опасности можно представить следующий список объектов нападения:

* Фирмы, занимающиеся компьютерной безопасностью, представляют наиболее вероятную цель, поскольку их серверы и веб-сайты наиболее защищены.
* Любые организации, имеющие компьютеры и серверы, особенно те, чей бизнес ведется через интернет.
* Высококлассные СМИ, крупные корпоративные сайты, сайты политических партий, знаменитостей, взлом которых освещается в печати и приносит известность взломщику в хакерских кругах.
* Любой веб сайт, связанный с электронной коммерцией (который может быть взломан в любое время, так как работает 24 часа 365 дней в году).
* Любой компьютер, имеющий широкополосный доступ в интернет, который все время находится в сети и чей IP-адрес никогда не меняется.
* Компьютеры, подключенные через модем по dial-up.

Узнать противника: как хакеры собирают информацию

Есть прямая зависимость между успешным взломом и тем, сколько информации хакер предварительно получил о потенциальной жертве. Сбор информации имеет первостепенное значение, это может быть финансовая информация, физические устройства, персонал, сеть, главные интересы. Кроме того, общие интернет - ресурсы могут обеспечить ценную информацию на любой стадии взлома.

Инструменты для сбора информации

Для сбора информации существует много активных и пассивных методов. Пассивный сбор информации состоит в безопасном сканировании IP-адресов, определении сетевой инфраструктуры, приложений и используемых средств безопасности. В распоряжении хакера огромный арсенал для сбора информации, в частности:

* Исследование сети: используется, чтобы быстро проверить известные уязвимости компьютеров. Для этого используются снифферы, которые перехватывают пароли и другую информацию во время пересылки, как между компьютерами, так и в сети; эксплоиты, которые используют известные уязвимости.
* Социальная инженерия: всевозможные манипуляции с целью получения информации, например, выяснение паролей или учетных записей за кружкой пива, или как-нибудь еще.
* Общедоступные источники и мусорные ведра: получение информации из рекламных материалов и мусорных корзин.
* Программы-невидимки (так называемые root kits): инструмент для скрытия факта нарушения безопасности компьютера

Исследование сети

Исследование сети необходимо хакеру для планирования атаки. Для этого используется сканирование, пробы, определение используемых приложений и их версий, установление топологий сети, таких как локальная, сеть провайдера, телекоммуникационная или корпоративная. Во время исследования сети наиболее важными являются IP-адреса, сетевые адреса, списки доступа, точки доступа, настройки межсетевого экрана, версии приложений и имена пользователей.

Большинство хакерских инструментов для сбора информации используется удаленно. Команды traceroute, ping и сканирование сети позволяет составить физическую/логическую структуру сети, в то время как пакетный сбор данных, например снифферы, позволяют получить данные о запущенных приложениях, именах пользователей и паролей. Сервис WHOIS (SamSpade) поможет определить, кому принадлежит конкретный IP-адрес, в то время как NetBIOS и RPC dumps позволят проанализировать трафик локальной сети (что наиболее опасно для домашних пользователей). После того, как получена вся ценная информация о пользователе, в web crawlers (нерезидентные вирусы) позволят просмотреть не удаленные данные с любой страницы. И в конце, IRC клиент поможет получить доступ и собрать сведения о любом пользователи в сети.

Хакеры используют весь диапазон сканирования. Сюда входит сканирование портов, IP-адресов, маршрутизаторов (фальсификация BGP - протокол IP–маршрутизации, и OSPF - протокол предпочтения кратчайшего пути), сканирование SNMP (протокол сетевого управления), исследование портов и приложений, проверка межсетевых экранов, наличия беспроводных точек, операционной системы, установленного оборудования и стека протоколов IP.

Социальная инженерия

Термин “социальная инженерия” употребляется хакерами для определения любого трюка, который используется для добывания информации у сотрудников выбранной фирмы. Манипулирование ложными данными с ничего не подозревающим персоналом, выуживание любыми способами необходимой информации, харизма, сексуальная привлекательность, мошенничество с кредитными картами, - это только несколько примеров социальной инженерии. Она основывается на знании человеческой природы, открытости и беспомощности, когда человека просят помочь или дать совет. Есть различия между пассивными и активными методами социальной инженерии. Звонок по телефону может вызвать ненужные подозрения; а что произойдет, если этот звонок ждут?

Социальная инженерия допускает прямое наблюдение и физический контакт для сбора информации. Типичный пример – наблюдение за ежедневными делами персонала, внедрение в предприятие под различными предлогами, наблюдение за ходом работы. Физический доступ на предприятие может быть осуществлен под видом поиска работы, с помощью знакомых из персонала, получением должности, которая откроет доступ к заветной цели.

Общедоступные источники и мусорные ведра

Информация о потенциальной жертве может быть получена как из общедоступных ресурсов, так и из мусорных корзин. Типичные примеры общедоступных ресурсов – база данных WHOIS, белые страницы, архивы обсуждений, свежие веб страницы, где размещена информация о владельцах ресурса; мгновенные сообщения, завязывание разговоров со служащими, определение домена по адресам электронной почты, поиск по белым страницам; в поисковых системах, подобных Google, по электронным письмам, отправленным годами раньше; выуживание из интернета сведений с помощью того же Google или crawlers.

Опытные хакеры также используют мусорные корзины как важный источник информации. Доступ к использованным материалам может принести хорошие результаты, предоставить информацию о компьютерах, инструкции по пользованию сетью и телефонами; старые жесткие диски и CD-ROM; записки, отчеты и другую офисную документацию; компьютерные и ИТ подпрограммы и протоколы, информацию о клиентах, счета, контакты, уничтоженную документацию.

Варианты хакерских атак

После того, как хакер собрал всю предварительную информацию, настало время приступать к атаке, которая может принять одну из следующих форм:

* Троянский конь.
* Черные ходы.
* Отказ в обслуживании (DDoS) и ботнеты (BotNets).
* Переполнение буфера (Buffer overflows).

Троянские кони

Троянские кони – это программы, которые кажутся вполне законными, но производят некоторые незаконные действия после запуска. Они могут использоваться, чтобы определить место хранения паролей, сделать систему менее защищенной для будущего вторжения, или просто уничтожить программы или данные на жестко диске. Троянские кони похожи на вирусы, но не могут размножаться путем заражения других файлов, поселившись на компьютере, они дают возможность получить контроль над удаленным доступ компьютером.

На практике хакеры используют Троянских коней для шпионских целей (как и пакетный сниффер) или для проделывания черных ходов, которые позволяют им получить удаленный доступ через сеть к зараженному компьютеру без ведома пользователя. Некоторые примеры последствий присутствия Троянского коня – стирание/перезапись данных на компьютере; порча файлов; распространение других вредоносных программ, например, вирусов; изменение сетевых настроек компьютеров-зомби для проведения DDoS-атак или рассылки спама; слежение за пользователем и тайная рассылка сведений о нем; ведение логов нажатий на клавиатуре для хищения паролей и номеров кредитных карт; подмена банка или других деталей доступа в криминальных целях; и оставление черных ходов в компьютерной системе, чтобы можно было вернуться позже и получить доступ.

Черные ходы

Черные ходы – способ обойти обычную аутентификацию и получить удаленный доступ к компьютеру, скрыв их от случайного обнаружения. Это может происходить в форме инсталляции программы, или, возможно, законной ее модификации. При входе в систему они могут обходить трудные комбинации имен пользователей и паролей. Типичными примерами черных ходов являются NetBus, SubSeven и BackOrifice.

Распространенность черных ходов в платных программах (исходный код которых закрыт для проверки) является абстрактной темой для рассуждений, но иногда используется на практике. Хакеры могут проделать черные ходы без модификации исходного кода программы, или изменить его после компиляции. Это может быть сделано перепиской компилятора. Когда измененный компилятор находит исходный код, он собирает программу как обычно, но вставляет черные ходы (возможно, с помощью специального пароля). Поэтому, когда входит хакер, ему открывается доступ к некоторым (как правило, недокументированным) операциям.

Многие компьютерные черви, такие как Sobig и MyDoom, устанавливают черные ходы на зараженных компьютерах (в основном на ПК, имеющим широкополосный доступ в интернет, на котором запущены небезопасные MS-Windows и MS-Outlook). Эти черные ходы позволяют спамерам рассылать почту с зараженных машин.

Черные ходы и Троянские кони распространяются разными способами, такими, как почтовые черви, специальные веб сайты, социальная инженерия и пиринговые сети P2P. Их потенциальные возможности удаленного управления очень разнообразны, начиная с манипуляции файлами (чтение и удаление), контроль за Рабочим столом, инсталляции программ, использование компьютера для проведения DDoS-атак до распределенного на несколько компьютеров взлома, при котором скрываются следы работы хакера и передача почтовых отправлений.

DDoS-атаки и ботнеты

DoS и DDoS-атаки направлены на сеть, которые переполняют ее дополнительными запросами так, что полезный трафик снижается до минимума, либо вовсе прерывается. В отличии от вирусов и червей, которые могут нанести ущерб базам данных, DoS-атаки нарушает на какое-то время работу сети, в то время, как DDoS-атаки используют различные сетевые компьютеры, предварительно зараженные. Компьютеры, исполняющие роль “зомби”, рассылают поддельные сообщения и, тем самым, увеличивая фальшивый трафик.

При DDoS-атаках атакующий компьютер очень часто представляет собой персональный компьютер с широкополосным доступом в интернет, который был заражен вирусом или Троянским конем, что позволило злоумышленнику получить удаленный контроль и провести атаку, часто через ботнет. При наличии достаточно количества таких управляемых хостов, работа даже больших сайтов может быть нарушена.

Инструменты DDoS очень просты, это такие распространенные ресурсы, как IRC, P2P, почтовые черви, сомнительные веб сайты и социальная инженерия. При всем многообразии инструментов жертвами DDoS-атак становятся крупные веб сайты, серверы, большие компании и сервис провайдеры, все те, кому требуется заблокировать широкую полосу пропускания.

Термин “ботнет” может быть использован по отношению к большому количеству зараженных компьютеров, которые используются для организации DoS-атак рассылки спама. Зараженные Троянским конем компьютеры часто управляются через IRC каналы и ждут команд от хозяина, контролирующего ботнет.

Ботнеты для проведения DDoS-атак чаще управляются через публичные IRC-каналы, чем непосредственно через компьютер владельца. Процесс затрудняется при использовании подписей и стека протокола IP. Однако, поскольку существуют сотни различных инструментов и без труда могут быть написаны новые зловредные программы, атаки могут быть удачными после того, как ботнеты проанализируют и оповестят о способах защиты.

ЗЛОНАМЕРЕННЫЙ КЛИЕНТ.
IRC СЕРВЕР

Этот пример иллюстрирует типичную ботнет атаку. Интернет червь заразил ряд компьютеров. Поскольку каждый инфицированный компьютер соединен с IRC, червь удаленно активизирует IRC сервер, а также предоставляет хакеру контроль над самим IRC (через первоначально зараженный компьютер). Все, что надо – начать DoS атаку, используя нужные команды.

Переполнение буфера

Буфер – часть компьютерной памяти, используемой программой или процессом, хранящим информацию о времени запуска. Поскольку компьютер не делает различий между программным кодом и данными, переполнение буфера позволяет хакеру обрушить службу или внедрить зловредный код.

Переполнение буфера – обычная причина нестабильно работающего программного обеспечения. Если количество данных, занесенных в буфер, превышает его размер, дополнительные данные будут записаны в смежные области, которые могут быть буферами, константами, флагами или переменными. Любое отклонение может быть пресечено, когда контрольные данные, такие как бинарный флаг, будут ошибочно изменены (для этого требуется один бит!). При переполнении буфера различные инструкции передают данные до нулевого указателя или знака возврата, или любого другого сигнала окончания передачи потока данных. Эти инструкции потенциально опасны и могут быть обойдены, если передается или читается точное число байт. Хакеры могут использовать переполнение буфера, добавляя исполняемые инструкции в конец данных, после того, как код попадает в память, он начинает выполняться. Это делает переполнение буфера компьютера опасным, а поскольку программа контроля данных располагаются в области памяти, смежной с буферами данных, переполнение может заставить компьютер выполнять произвольный (и потенциально опасный) код, который был прикреплен.

Программа, которая используется для того, чтобы нарушить безопасность работы другой программы, называется “зксплоитом”, и обычно используется хакерами, чтобы получить права суперпользователя, или другие привилегии. Эксплоит “переполнение буфера” работает таким образом, что добавляет специальное содержимое к данным, чтобы переполнить буфер и изменить его содержимое. Таким образом, хакеры могут вставить инструкции на машинном языке, которые бы дали ему привилегии суперпользователя, такие как добавление и удаление пользователей, смена паролей, изменение или удаление любых файлов.

Переполнение буфера происходит проще всего, когда буфер данных находится в стеке программы, поскольку это сразу может привести к альтернативной исполняемой программе. Кроме того, все зависит от уязвимости самой памяти, стеков, области динамически распределяемой памяти и формата потоков. Находя уязвимые буферы и их максимальный размер, смещение и возвращенные адреса, хакеры могут вызвать отказ в работе сервисов и провести DoS-атаку с целью переполнения буфера и внедрения кода на удаленную машину.

Резюме

Хакинг представляет угрозу всем, кто подключен к интернету. Это означает потерю важных данных, разрушение системы и вывод ее из строя. И чем важнее организация, тем больший интерес она представляет для хакера и больше подвержена риску атаки. Поскольку хакеры используют свой талант, чтобы изобретать все более изощренные инструменты для реализации своих целей, организации должны принять все меры, чтобы свести вероятность успеха атак к минимуму. Антивирусных программ и межсетевых экранов не достаточно. Сегодня необходимо постоянно контролировать активность, чтобы воспрепятствовать сканированию сети и созданию черных ходов, проникновению Троянских коней, ботнетов, осуществлению DDoS-атак, локальных атак и переполнения буфера. Это – постоянный процесс, а не единовременная акция.

ver2k

matrix
24.12.2005, 15:08
Проверим :))