Угрозы безопасности в интернете
Методология взлома
Первое, что необходимо знать про хакеров, – это то, что они хорошо вооружены. Многие хакеры осуществляют расширенные исследования, занимаются самообучением, экспериментируют с известными дефектами в популярных компьютерных программах и открывают в них новые "бреши".
Серьезные взломщики распространяют свои знания среди менее опытных хакеров, публикуя в интернете статьи, сообщения в новостях, технических форумах и конференциях, передавая информацию "из уст в уста". Большая часть информации представляет собой совершенно законные исследования, проводимые в "мирных" целях. Но разве можно быть уверенным в правильном использовании этой информации?
На рисунке 1.2 изображена страница, взятая из сайта о хакерстве Antionline.com, со списком доступных информационных ресурсов на тему взлома.
Находясь в обществе хакеров, взломщики имеют доступ к большому числу инструментов взлома и сценариев, значительно упрощающих их действия. Microsoft IIS, Windows 2000 и Windows XP представляют собой удобные цели, поэтому многие инструменты взлома направлены именно на эти платформы. Они автоматически находят доступные компьютеры, взламывают пароли, прослушивают сетевые пакеты и используют известные уязвимые места.
Универсальные методы атак
Хакеры осуществляют атаки широкого диапазона действия (универсальные атаки), т.е. направленные не на конкретную организацию, а на большое число потенциальных жертв.
Вирусы и черви попадают под категорию универсальных атак. Они направлены на различные объекты и действуют случайным образом, используя для самораспространения электронную почту и нанося значительный вред. Вирусы и черви подробно описываются в "Удаление, повреждение и отказ в доступе к данным" .
При взломе используются универсальные подходы. В начале своих действий хакер нацеливается на большую группу объектов, после чего концентрирует усилия на объекте, имеющем уязвимые места. Разумеется, если атака выполняется из внутренней сети, выбор ее целевых объектов не будет случайным.
Предварительное исследование
Хакер начинает атаку с выполнения тестового опроса (ping), используя автоматизированную программу, отправляющую ping-запросы по большому числу IP-адресов для получения ответов от каких-либо узлов. При отсутствии адекватной защиты веб-сайт станет жертвой, если отправит ответ на ping-запрос. При получении ответа следующим шагом хакера будет запуск инструмента, определяющего операционную систему компьютера-респондента. После этого он узнает уязвимые места потенциальной жертвы, так как эту информацию легко найти в литературе, посвященной взлому.
Сканирование
После нахождения потенциальной жертвы хакер осуществляет сканирование для обнаружения на атакуемом компьютере доступных служб. С помощью инструмента, основанного на протоколах Internet Transaction Control Protocol (ITCP) и User Datagram Protocol (UDP), можно определить, выполняются ли в системе службы Hypertext Transfer Protocol (HTTP), Simple Network Management Protocol (SNMP), Post Office Protocol (POP) или File Transfer Protocol (FTP).
Получив информацию посредством ping-запросов и сканирования, хакер применяет целый набор инструментов, нацеленных на определенные уязвимые места, для осуществления DoS-атаки. Если хакер выяснил адрес и имя одного из серверов, то он попытается использовать крекинг для проникновения в систему. Например, начнет проверку учетных записей, используя автоматизированные словари паролей, чтобы угадать один из них. Он может выполнить атаку на переполнение буфера посредством отправки большого количества данных, содержащих программу типа "троянский конь", которую нужно разместить в этой информационной среде.
Инструменты
Методы разведки и сканирования показывают, что можно стать жертвой хакера, который затратил совсем немного времени и усилий на подготовку к атаке. Инструменты взлома выполняют за хакера всю основную работу.
Совет. Опытные хакеры презрительно относятся к хакерам-любителям, так как любители беспрепятственно пользуются программными продуктами, на создание которых было затрачено много усилий со стороны "продвинутых" взломщиков.
В таблице 1.2 приведен краткий перечень некоторых универсальных средств и инструментов сканирования, используемых хакерами. Косвенно они являются и средствами защиты в случае их использования для выявления слабых мест системы. Некоторые инструменты взлома основаны на платформе UNIX, что устраивает многих хакеров. В "Жизненный цикл управления безопасностью" обсуждается использование средств Windows для проведения экспериментов, направленных на выявление "прорех", прежде чем их обнаружит злоумышленник.
| Наименование | Цель | Адрес |
|---|---|---|
| fping (Unix) Grim's Ping (Win 2000) | Отправка одиночных ping-запросов или параллельная отправка массовых ping-запросов циклическим образом | http://www.fping.com http://www.networ-kingfiles.com//PingFinger/Grimsping.htm |
| Nmap | Сканирование сети для определения доступных систем и служб, используемых операционных систем | http://insecure.org/nmap/ |
| Winscan | Сканирование портов TCP и UDP, обнаружение и отслеживание служб, работающих в системах Windows NT 4.0 и Windows 2000. | http://www.prosolve.com/software/ |
| LC3 (LOphtcrack) | Получение паролей из отдельных рабочих станций Windows NT и Windows 2000, сетевых серверов, главных контроллеров домена или из программы Active Directory | http://www.@stake.com |
| Nessus | Аудит сети и определение всех уязвимых мест защиты, запуск эксплоитов, отчет об успехе работы каждого эксплоита | http://www.nessus.org |
| Ethereal | Этот сниффер Ethernet прост в использовании и предназначен для интерактивного просмотра захваченных данных, вывода отчета и подробной информации о каждом пакете данных | http://www.ethereal.com |
| Whois | Утилита, определяющая веб-адрес и адрес сервера хранилища учетных записей домена, в котором содержится полная контактная информация | http://www.internic.net/whois.html |