2. Застосування програм-сканерів для підвищення безпеки системи

2.1. Загальні принципи

Походження програм — сканерів портів пов'язане з виникненням спеціальних програм, які в середовищі хакерів називаються "Бойовим номеронабірником". Поява цього класу програм була обумовлена необхідністю автоматизації дозвону до віддалених комп'ютерів мережі за допомогою модемного з'єднання на початку розвитку мережного середовища.

Бойовий номеронабірник являє собою програму, яка обзвонює задані користувачем телефонні номери в пошуках комп'ютерів, що у відповідь на дзвоник, що надійшов, видають реєстраційне запрошення. Програма акуратно зберігає у файлі на твердому диску всі такі телефонні номери разом з даними про швидкість з'єднання з ними. Одним з найвідоміших і досконалих бойових номеронабірників є TONELOC, призначений для роботи в середовищі операційної системи DOS (він може бути запущений під керуванням Windows 9.х у режимі командного рядка). Якщо в когось з'явиться нездоланне бажання спробувати бойовий номеронабірник у дії, то він може звернутися в Internet за адресою ftp://ftp.fc.net/ pub/defcon/TONELOC/tll 10.zip

Подальше удосконалювання бойових номеронабірників привело до створення сканерів. Перші сканери були дуже примітивними і відрізнялися від бойових номеронабірників тільки тим, що спеціалізувалися виключно на виявленні комп'ютерів, підключених до мережі Internet чи до інших мереж, що використовують протокол TCP/IP. Вони були написані мовою сценаріїв програмної оболонки операційної системи UNIX. Такі сканери намагалися приєднатися до віддаленої хост-машини через різні порти TCP/IP, відправляючи всю інформацію, що виводилася на пристрій стандартного виводу цієї хост-машини, на екран монітора того комп'ютера, де був запущений сканер.

Нині сканери стали дуже грізною зброєю як нападу, так і захисту в Internet.

Сканер — це програма, призначена для автоматизації процесу пошуку слабостей у захисті комп'ютерів, підключених до мережі відповідно до протоколу TCP/IP. Найбільш досконалі сканери звертаються до портів TCP/IP віддаленого комп'ютера й у деталях протоколюють відгук, що вони одержують від цього комп'ютера. Запустивши сканер на своєму комп'ютері, користувач, скажемо, з підмосковної Малаховки, навіть не виходячи з будинку, може знайти пролому в захисних механізмах сервера, розташованого, наприклад, у Лос-Анджелесі.

Більшість сканерів призначена для роботи в середовищі операційної системи UNIX, хоча до дійсного часу такі програми є практично для будь-якої операційної системи. Можливість запустити сканер на конкретному комп'ютері залежить від операційної системи, під керуванням якої працює цей комп'ютер, і від параметрів підключення до Internet. Є сканери, що функціонують тільки в середовищі UNIX, а з іншими операційними системами виявляються несумісними. Інші відмовляються нормально працювати на застарілих комп'ютерах з Windows 3.11 і з повільним (до 14 400 біт/с) доступом до Internet, здійснюваним по лініях, що комутируються. Такі комп'ютери будуть набридати повідомленнями про переповнення стека, порушенні прав доступу чи стануть просто зависати.

Критичним є й обсяг оперативної пам'яті комп'ютера. Сканери, що керуються за допомогою командного рядка, як правило, більш помірні у своїх вимогах, пропонованих до обсягу оперативної пам'яти. А самими "ненажерливими" є сканери, постачені віконним графічним інтерфейсом користувача.

Написати сканер не дуже важко. Для цього досить добре знать протоколи TCP/IP, уміти програмувати на С чи Perl і мовою сценаріїв, а також розбиратися в програмному забезпеченні сокетів. Але й у цьому випадку не слід очікувати, що створений вами сканер принесе великий прибуток, оскільки в даний час пропозиція на ринку сканерів значно перевищує попит на них. Тому найбільша віддача від зусиль, вкладених у написання сканера, буде скоріше моральною (від усвідомлення добре виконаної роботи), чим матеріальною.

Не слід переоцінювати позитивні результати, яких можна досягти завдяки використанню сканера. Дійсно, сканер може по силу виявити діри в захисті хост-машини, однак у більшості випадків інформацію про наявність цих дір сканер видає в досить завуальованому вигляді, і її треба ще вміти правильно інтерпретувати. Сканери рідко забезпечуються досить повними посібниками користувача. Крім того, сканери не в змозі згенерувати покроковий сценарій злому досліджуваної комп'ютерної системи. Тому для ефективного використання сканерів на практиці насамперед необхідно навчитися правильно інтерпретувати зібрані з їхньою допомогою дані, а це можливо тільки при наявності глибоких знань в області мережної безпеки і багатого досвіду.

Звичайно сканери створюються і використовуються фахівцями в області мережної безпеки. Як правило, вони поширюються через мережу Internet, щоб з їхньою допомогою системні адміністратори могли перевіряти комп'ютерні мережі на предмет наявності в них вад. Тому володіння сканерами, так само як і їхнє використання на практиці, цілком законно. Однак рядові користувачі, що не є системними адміністраторами, повинні бути готові до того, що, якщо вони будуть застосовувати сканери для обстеження чужих мереж, то можуть зустріти лютий опір з боку адміністраторів цих мереж. Більш того, деякі сканеру в процесі пошуку проломів у захисті комп'ютерних мереж починають такі дії, що за законом можуть кваліфікуватися як несанкціонований доступ до комп'ютерної інформації, або як створення, використання і поширення шкідливих програм, або як порушення правил експлуатації комп'ютерів, комп'ютерних систем і мереж. І якщо наслідком цих діянь стало знищення, блокування, чи модифікація копіювання інформації, що зберігається в електронному виді, те винні в них особи відповідно до законодавства підлягають карному переслідуванню. А виходить, перш ніж почати користатися першим безкоштовним сканером, що потрапилися під руку, для UNIX-платформ, варто переконатися, а чи не копіює випадково цей сканер заодно і які-небудь файли з диска тестируемой їм хост-машини (наприклад, файл password з каталогу /ETC).

Часто до сканерів помилково відносять утиліти типу host, rusers, finger, j Traceroute, Showmount. Зв'язано це з тим, що, як і сканери, дані утиліти дозволяють збирати корисну статистичну інформацію про мережні служби на віддаленому комп'ютері. Цю інформацію можна потім проаналізувати на предмет виявлення помилок у його конфігурації. Дійсно, мережні утиліти виконують ряд функцій, що характерні для сканерів. Однак на відміну від останніх використання цих утиліт викликає менше підозр у системних адміністраторів. Виконання більшості мережних утиліт на віддаленій хост-машині практично не робить ніякого впливу на її функціонування. Сканери ж найчастіше поводяться як слон у посудній крамниці і залишають сліди, що важко не помітити. Крім того, гарний сканер — явище відносно рідке, а мережні утиліти завжди під рукою. До недоліків мережних утиліт можна віднести те, що приходиться виконувати вручну занадто велику роботу, щоб домогтися того ж результату, що за допомогою сканера виходить автоматично.

Згадані вище мережні утиліти можна зустріти в будь-якій операційній системі сімейства UNIX. Однак надані ними можливості для збору даних про віддалені хост-машини цікавлять не тільки користувачів UNIX. Тому не дивно, що багато хто з цих утиліт були перенесені в інші операційні системи.

Для Windows 9.х є програмні пакети NetScan Tools (http://www.eskimo.com/~nwps/index.html), Network Toolbox (http://www.jriver. com/netbox.html) і TCP/IP Surveyor (http://www.rocketdownload.com/details/inte/ wssrv32nsrc.htm), які реалізують виконання мережних утиліт host, rusers, finger, Traceroute, ping, WHOIS. Останній зі згаданих пакетів не тільки здійснює збір інформації про мережу і підключені до неї комп'ютери, але і представляє зібрану в такий спосіб інформацію у вигляді графа, вершинами якого служать знайдені в мережі маршрутизатори, сервери і робочі станції.