- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Защита от подмены на файловом уровне
Выше был описан обычный метод подмены утилит на файловом уровне. При установке вышеупомянутых наборов утилит изменяются основные системные файлы. Это значительно упрощает задачу обнаружения, особенно если в компании используются такие программы, как tripwire. Программа tripwire отлично подходит для обнаружения троянских наборов файлового уровня. Данная программа создает хэш-код для всех системных файлов. Если эти файлы изменятся, при последующих проверках хэш-коды не совпадут и программа поднимет тревогу. Если два хэш-кода не отличаются, то два файла абсолютно идентичны. Поскольку при подмене файлы изменяются, значит, хэш-коды до и после переписывания будут отличаться. Таким образом если программа tripwire запускается регулярно, любые изменения в системе, в том числе установка троянских версий системных файлов, будут обнаружены.
Теперь вы понимаете, что наборы троянских утилит представляют серьезную угрозу, однако при соответствующей настройке системы безопасности они легко обнаруживаются. К сожалению, это относится только к наборам утилит файлового уровня. С появлением способов подмены, работающих на уровне ядра, работа администраторов стала намного сложнее.
Подмена на уровне ядра
Подмена файлов обнаруживается довольно легко. Однако подмена системных утилит на уровне ядра происходит на гораздо более низком уровне, что крайне усложняет их обнаружение. Такие программы подключаются напрямую к ядру и не изменяют системные файлы. Программа tripwire не сможет обнаружить изменений, поскольку никакие файлы не изменялись. Работая на уровне ядра, взломщик перехватывает системные вызовы и не нуждается в изменении каких-либо системных файлов. Таким образом, взлом на уровне ядра имеет те же преимущества, что и подмена файлов, однако не имеет их недостатков.
Защита от наборов утилит уровня ядра
От наборов взломщика, работающих на уровне ядра, защититься очень сложно. Это та область, в которой нужно иметь действительно хорошую защиту. Если компания имеет надежный механизм защиты и использует принцип ограничения полномочий на всех системах, взломщик просто не сможет установить набор утилит уровня ядра, поскольку не сможет получить полный доступ к системе. Кроме того, для обнаружения такого набора утилит можно попробовать выполнить некоторые команды, которые используются для управления этими наборами. Если такие команды сработают, значит, набор утилит уровня ядра уже установлен в системе. Как вы увидите далее, это возможно, поскольку команды управления этими наборами не защищены паролями. Если система отвечает на такие команды, то у вас имеются большие проблемы. Лучшей защитой может быть установка монолитного ядра, однако это не всегда приемлемо. Монолитное ядро не позволит устанавливать загружаемые модули в вашу систему.
Теперь давайте ознакомимся с наборами утилит под операционные системы UNIX и NT.
Наборы утилит для nt
Большинство существующих наборов администратора запускаются под UNIX. На данный момент идет работа по созданию таких наборов для NT, однако они существуют только в бета-версиях. Эти наборы можно получить по адресу: http://www.rootkit.com. Последняя версия, не используя загружаемых модулей ядра, производит его непосредственное изменение. Однако дальнейшие разработки направлены на использование загружаемых модулей, что позволяет скрыть следы вторжения в систему. Этот набор имеет следующие основные функции:
-
скрытие ключей реестра;
-
прямое обращение к любому сетевому адаптеру, установленному в системе;
-
перенаправление запросов на выполнение.
Теперь перейдем к более мощным наборам утилит, которые работают под ОС UNIX.
Наборы утилит для UNIX
Существует большое количество наборов утилит как файлового уровня, так и уровня ядра. Ниже приведен список некоторых из них.
Наборы файлового уровня:
■ TrojanIT;
■ Lrk.5;
■ Ark;
-
Rootkit (существует несколько наборов с таким названием);
Наборы уровня ядра:
-
Knark;
-
Adore.
Кроме того, существует несколько простых в использовании приложений под Windows, которые позволяют создавать люки. Эти программы в основном ориентированы на Windows NT и описаны в следующем разделе.
Люки в NT
Ниже приведен список программ, которые позволяют обеспечить повторный доступ в системы Windows. Данные программы будут описаны в следующих разделах.
-
Brown Orifice
-
Donald Dick
-
SubSeven
-
Back Orifice
Первый эксплоит, Brown Orifice, использует Netscape для создания люка и работает как под системами Microsoft, так и под UNIX. Этот эксплоит является демонстрацией того, как хакер может провести взлом, проникнуть в систему и создать люк, используя Web-сервер. Три остальных программы являются средствами удаленного управления и устанавливаются после взлома, позволяя взломщику полностью контролировать систему жертвы. Эти программы могут быть установлены с помощью троянских приложений.