- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Защита от изменений информации о файле
Вручную защититься от попыток изменить атрибуты файла и сокрытия следов довольно сложно, однако существуют утилиты, которые значительно облегчают эту задачу. Во-первых, для того чтобы определить, изменялся ли файл, можно создать криптографический хэш-код файла. Хэш-код рассчитывается для всего файла. Такой метод имеет два преимущества. Во-первых, при любых изменениях файла изменяется хэш-код. Теперь, даже если взломщик попытается обмануть вас, изменив дату изменения и размер файла, вы сможете обнаружить это. Возникает вопрос: "А что мешает взломщику изменить также хэш-код?". Второе преимущество использования хэш-кода заключается в том, что он сам закодирован с помощью односторонней функции, а значит, взломщик не сможет раскодировать его без знания информации кодирования. Если в дополнение к этому хэш-коды автономно сохраняются в другой системе, взломать их почти невозможно.
Одной из самых популярных программ, которые позволяют создавать хэш-коды, является tripwire. Эту программу можно скачать по адресу: http://www.tripwirese-curity.com. Программа tripwire работает на большинстве операционных систем, включая NT и UNIX. Данная программа автоматически вычисляет хэш-коды для всех ключевых файлов системы или для файлов, которые вы укажете. Затем программа будет проводить периодическое сканирование этих файлов, заново вычислять хэш-коды для них и таким образом проверять их целостность. Если эти файлы изменятся, значит, в систему проник взломщик. Распространенной ошибкой является слежение за файлами, которые периодически обновляются и изменяются системой. В этом случае после того, как система обновит файл, программа tripwire заметит это, и администратор будет считать, что система была взломана. Таким образом, чтобы свести к минимуму количество ложной информации, нужно очень тщательно выбирать файлы для сканирования.
Существуют другие программы, например sysdiff для NT, которые делают снимок системы и при загрузке выдают отчет о том, какие файлы были изменены. В системе UNIX можно воспользоваться командой diff, позволяющей сравнить два файла на двоичном уровне и сигнализировать о различиях.
Дополнительные файлы
В большинстве случаев когда взломщик проникает в систему, он загружает в нее свои файлы, чтобы получить дополнительный доступ или чтобы проводить взлом других систем. Часто взломщик проникает в систему для получения доступа не к информации, а к ресурсам. Если компания имеет несколько высокопроизводительных рабочих станций и подключений к Internet, она является заманчивой целью для взломщика, который хочет проводить атаки на другие компьютеры в Internet. В этом случае взломщик должен загрузить в систему много утилит и иметь возможность обращаться к ним в любое время.
Одна компания обнаружила, что пользователи заняли все пространство на жестком диске сервера, и ее руководству пришлось добавлять по 10 Гбайт дискового пространства еженедельно. Однако после опроса пользователей оказалось, что они почти не сохраняют информацию на сервере. После проведения расследования я обнаружил 70 Гбайт утилит, предназначенных для взлома, и много информации, украденной с серверов других компаний. Как оказалось, взломщики использовали этот сервер как базу для проведения взлома других компьютеров. Самое смешное заключается в том, что если бы взломщики не заняли так много места, то, скорее всего, их никогда бы не обнаружили. Единственное, почему их начали ловить, было то, что администраторам надоело подключать к системе жесткие диски.
Таким образом, взломщик должен скрывать факт наличия дополнительной информации в системе. Ниже приведены методы, с помощью которых можно добиться этого.
-
Установление атрибутов скрытия файлов. Любая система позволяет скрыть файл. Для этого достаточно установить атрибут, который помечает его как невидимый. После того как файл был скрыт, к нему можно обращаться, если точно знать, что он находится в указанном месте. Однако стандартные средства просмотра содержимого диска и поиска не увидят этот файл.
-
Переименование файлов. В большинстве систем есть системные каталоги, которые содержат много файлов. Например, в системах UNIX таким каталогом является /etc, а в системах Windows— windows. Если взломщик поместит в такие каталоги файлы с именами, похожими на имена других файлов, вероятность остаться незамеченным довольно высока. Однако этот метод эффективен, если вам надо спрятать небольшое количество файлов. Если вам, например, нужно спрятать 2000 файлов то, скорее всего, вас обнаружат.
-
Создание скрытых разделов и сетевых ресурсов. Вы можете создавать скрытые разделы на жестком диске, если на нем достаточно места. В большинстве случаев администратор проверяет только основные разделы, а значит, если взломщик создаст свой раздел, довольно высока вероятность того, что он останется незамеченным. Этот метод очень эффективен, если взломщик хочет спрятать большое количество информации.
-
Подмена утилиты определения свободного места на диске. Все эти методы имеют общий недостаток, который заключается в том, что даже если администратор не найдет скрытые файлы, он заметит, что жесткий диск заполняется. В этом случае взломщик может установить в системе троянскую версию программы определения свободного места на диске, которая будет подделывать результаты проверки свободного места. Этот метод сработает до определенного момента, поскольку когда администратор попытается использовать дисковое пространство, он увидит, что места нет. Кроме того, если используется программа типа tripwire, подмена будет замечена сразу.
-
Использование стеганографических утилит. Стеганография, или сокрытие информации, позволяет взломщику спрятать информацию в любом файле. Таким образом, если взломщик хочет спрятать важную информацию в системе жертвы, он может воспользоваться такими утилитами и спрятать данные в обычных файлах.