IT-безопасность: стоит ли рисковать корпорацией?, Маккарти Линда

IT-безопасность: стоит ли рисковать корпорацией?

на обложку

Маккарти Линда

Шрифт:

О применяемых инструментах

Теперь, когда вы знаете, на кого в действительности похож хакер (на любого из нас!), вы, вероятно, размышляете о том, какую подготовку надо иметь для такой трудной работы. К сожалению, небольшую.

Хакеры используют различные инструменты для взлома систем и скрытия своих следов, чтобы избежать обнаружения. Миф об исключительности хакеров, несомненно, возник из-за того, что инструменты их ремесла являются действительно выдающимися шедеврами программирования. Однако немногие хакеры сами пишут программы для используемых ими инструментов. Большинство из них являются рядовыми солдатами,

просто собирающими необходимые им инструменты из открытых источников. Насколько открытых? Непродолжительная прогулка по Интернету покажет вам, как легко можно получить многие из хакерских инструментов. А теперь добавьте к этому все то, что можно получить в подпольной среде. Все, что для этого нужно, — это «зарегистрироваться» в хакерской электронной доске объявлений и получить доступ к другим хакерам, и вас будут постоянно снабжать новейшими и превосходными инструментами для поиска и кражи информации. Это похоже на клуб — один хакер передает найденный им инструмент другому хакеру, который передает его еще одному хакеру, и т. д. И чем больше инструментов имеет хакер, тем легче ему будет взломать вашу систему.

Прогулка с хакером

Остальная часть этой главы покажет вам, что будет делать хакер после того, как он окажется в вашей сети. Это реальная расшифровка действительно произошедшего взлома. В данном случае эксперт по безопасности подвергшейся нападению компании обнаружил вторжение и записал каждое нажатие клавиши.

В ходе этой прогулки помните, что хакер искал информацию и доступ к другим системам для получения еще большего количества информации. Компании, о которой идет речь, повезло по двум причинам. Во-первых, они обнаружили хакера сразу после начала атаки. Во-вторых, им невероятно повезло в том, что хакер просто «разглядывал витрины» и не оставил за собой каких-либо разрушений.

Идя за хакером, также помните, что он может в следующей своей прогулке забрести и в вашу округу…

Что делал хакер…

Строка № 1

Когда этот хакер взломал систему в декабре, он использовал гостевую учетную запись, созданную без пароля. После того как он взломал систему, он добавил свой собственный пароль к гостевой учетной записи и учетной записи, названной "ingres", после чего он мог легко получать доступ с регистрацией в любое удобное время. [72]

Из листинга видно, что данный взлом происходит уже после декабрьского — в январе. — Примеч. пер.

Строка № 2

Команда "who" проверяет и показывает, нет ли кого еще в системе. Наш друг не хочет, чтобы кто-либо в системе его заметил.

Строка № 5

Эта строка копирует коммуникационную программу, названную "kermit", в текущий рабочий каталог хакера. После этого он может использовать kermit для пересылки инструментов для работы с защитой, которые он будет применять для получения доступа к системам и информации. Заметьте, что большинство хакеров пересылают свои собственные инструменты для работы с защитой, чтобы упростить себе работу. Некоторые хакеры слишком мало знают об операционных системах и просто используют инструменты, написанные людьми, которые в этом действительно разбираются.

Строки

с № 6 по № 25

Теперь хакер использует известную программную ошибку для получения прав суперпользователя по доступу к системе. (Хакер пишет несколько строк программы для переполнения буфера в rdist и затем засылает команды в rdist, которые исполняются.) Если бы в систему были установлены правильные патчи, то это не было возможным!

1 valley% sh

2 $ who

3 ingres ttypO Jan 18 23:02

4 root ttyp2 Jan 15 18:38 (canyon)

5 $ cp /home2/jeff/bin/kermit,orig kermit

6 $ kermit

7 C-Kermit 5A(178) ALPHA, 29 Jan 92, SUNOS 4.1 (BSD)

8 Type? or HELP for help

9 C-Kermit>rece fi

10 Escape back to your local Kermit and give a SEND command…

11 # N3

12 0Yz*@-#Y1-N!y-13

13 %!YfiO

14 #"Y@

15 ##YA

16#$YB

17#%YC

18#&YD

19C-Kermit>

20 Stopped

21 valley% sh

22 Stopped (signal)

23 valley% sh

24 переполняет буфер (удалено из соображений безопасности)

25 $ /tmp/sh

Строки с № 26 по № 27

Хакер теперь имеет права доступа суперпользователя (root). Он уже внутри! Он устанавливает режим и разрешения и изменяет имя на нечто такое, что он, вероятно, не забудет. Заметьте, что он удаляет файл /tmp/sh, так как не хочет оставлять какого-либо следа своего визита.

Строка № 28

Он ошибается в написании команды.

Строки с № 29 по № 45

Он выдает команду ls (list) с параметром — t (time), определяющим формирование списка файлов каталога с новейшими файлами в начале списка. Выдается список файлов.

Строки с № 46 по № 48

Просто еще одна проверка на отсутствие в системе кого-либо. Большинство хакеров продолжают проверять систему на наличие в ней других регистраций на протяжении всей атаки.

Строка № 49

Здесь он использует команду grep для поиска строки "est". (Параметр — i говорит UNIX, что допустимы символы как верхнего, так и нижнего регистров.) Предположительно, хакер ищет наличие других регистрации в системе из домена DNS".West". (Если вы не знакомы с UNIX, то "grep" — это общая команда, расшифровывающаяся как Grab Regular Expression. В основном grep используется для поиска в системе конкретной строки, имеющейся в файлах этой системы.)

26 # rm /tmp/sh

27 rm: override protection 755 for /tmp/sh? у

28 # Isll

29 # Is — tal

30 total 1049

31 drwxr-xr-x4 ingres 512 Jan 18 23:04.

32 — rwsrwsrwx 1 root 24576 Jan 18 23:04 suck

33 — rw-r-r-1 root 61 Jan 18 23:04 c.c

34 — rwxr-xr-x 1 ingres 442368 Jan 18 23:03 kermit

35 — rwxrwxrwx 1 ingres 360448 Jan 16 11:02 testit

36 drwxr-xr-x 30 root 1024 Dec 18 20:27..

37 — rw-r-r-1 ingres 1148 Jun 9 1992 foo