Независимый бостонский альманах

История

История, её последствия и переосмысление прошлого и теперешнего.
Политика

Большая часть наших материалов посвящена темам, которые без спроса вошли в нашу жизнь.
КРИЗИС СЕМИДЕСЯТЫХ

Всемирное и в особенности российское хозяйство уже второй год остаются в кризисном состоянии.

Лучшие авторы пишут:

Валерий Лебедев. Нооскоп Антона Вайно, видящий Невидимое в час Быка

В августе вышло два приказа за подписью президента. Первый: Второй: О Сергее Иванове известно много, но почему так внезапно сняли, бросив на низовку представлять интересы президента перед ...
НАДЕЖДА УКРАИНЫ

Надежде Савченко 11 мая этого года будет 35 лет. На многих фото выглядит моложе своих лет. По отчеству Викторовна ее называют редко. В Вики, кстати сказать, отец Нади, которого , стало быть, звали Виктор, ...
Гаага: приглашается свидетель обвинения Михаил Лесин

Родился Михаил Лесин точно один раз и произошло это 11 июля 1958 г. в Москве в советской еврейской семье. Отец — военный строитель. Зато умер Лесин или нет, и отчего именно - неизвестно. Но зато известно, ...
Ходжа Насреддин против Сталина

Говорит Дмитрий Быков: Ходжа Насреддин Леонида Соловьева - это очень интересный извод русской литературы. Леонид Соловьев вырос в Средней Азии и провёл там много времени, скажем так, хотя он по ...
Неизвестная смерть Сталина ( попытка реставрации событий по дням и часам)

Совпали две даты: одна круглая - 60 лет со дня разоблачительной речи Хрущева на ХХ съезде КПСС и другая корявая - 63 года со дня смерти Сталина. По этому поводу появилось несколько важных публикаций, самой ...
КНИГА ДЛЯ СТАЛИНА (Евангелие от Булгакова)

Составлено по материалам выступлений Дмитрия Быкова, иллюстрации из фильма Мастер и Маргарита, рисунки 16-летней Нади Рушевой, народное творчество на лестничной площадке нехорошей квартиры N50 в доме по ...
Тяготение к Эйнштейну (открытие гравитационных волн)

14 сентября 2015 г международная группа ученых из коллаборации LIGO (Laser Interferometer Gravitational-Wave Observatory, Обсерватория Лазерного Интерферометра Гравитационных волн ) на двух одинаковых ...
Туннельный эффект для России (С надеждой в будущее 2017 г.)

Резиновый Путин на медведе. Подарок за 2950 руб. Из рекламки к подарку: Высота фигуры 19 см. Символизирует победу, богатырскую силу и власть. Статуэтка — символ русского народа, идущего сквозь историю ...

Главная » 1999 » РАДОСТЬ ХАКЕРА

РАДОСТЬ ХАКЕРА

17-10-1999

N141 17 октября 1999 г. Материал подготовил Валерий Лебедев

Я подготовил материал по статьям разработчиков Института Криптографии при ФСБ и некоторых других источников.

Сам в этом деле понимаю очень мало. Просто делал компиляцию так, чтобы хотя бы в общих чертах уловить, в чем же суть проникновения хакеров на чужие серверы.

Всякие поправки, дополнения и опровержения смогут продвинуть лично меня в понимании этих туманных проблем. Хотя вряд ли. -
С извинениями - Валерий Лебедев

Обычно со словом "хакер" ассоциируется специалист, обладающий очень высокой квалификацией в области компьютерной безопасности.

ЭрикРэймонд в своем "Новом словаре закера" дает 8 пониманий термина "хакер", причем основное - компьютерный асс и классный специалист орудования среди программ, операционных систем и разных там оболочек.

По поводу того, как хакеры используют свои знания, имеются серьезные разногласия. Одни авторы называют хакерами тех, кто пытается взломать защищенные системы для того, чтобы затем сформулировать рекомендации по совершенствованию их защиты. Другие называют хакерами только "компьютерных асов", использующих свои знания в преступных целях. Иногда хакеров в этом понимании называют кракерами или крекерами (от англ. crack – ломать). Мы не будем касаться нравственно-этических аспектов деятельности хакеров, и будем понимать под хакером лицо, которое пытается преодолеть защиту компьютерной системы, неважно, в каких целях.

Многие считают, что для того, чтобы стать хакером, достаточно выйти в Интернет и зайти на один из хакерских серверов. Действительно, в Интернете имеется множество серверов, владельцы которых громогласно объявляют себя хакерами. Например, поисковая служба Infoseek на запрос "hacker" выдает список из 131 тыс. страниц, а AltaVista – из 425,5 тыс. Однако мне так и не удалось найти ни одного сервера, который содержал бы хоть сколько-нибудь полезную информацию. Как правило, все, что находится на "хакерских" серверах – это "философские" статьи о хакерстве, пропаганда хакерских идеалов и реклама достижений отдельных хакеров. Характерно, что спонсорами многих "хакерских" серверов являются фирмы, зарабатывающие деньги распространением в Интернете порнографии.

Ну, подумаешь, побаловались шведские хакеры и разрисовали 19 сентября прошлого года первую страницу Web-сервера ЦРУ непристойными картинками.

Скандинавским ребятам повезло. Засечь их не удалось.

А то платить бы им 250 тысяч долларов штрафа или отсидеть пару-тройку лет в тюрьме.

Хакеры, атакующие банковские системы, тоже существуют но их – единицы. Основная же масса хакеров получает моральное удовлетворение от самого факта удачного проникновения в чужой защищенный сервер (по данным того же бюллетеня "Информационная безопасность часто хакеры, не доводя атаку до конца, сообщали администрации атакованных серверов об обнаруженных слабостях в подсистемах их защиты). Таким образом, в среднем атаки банковских систем с целью обогащения или шпионажа составляют менее 10% всех успешных атак защищенных КС. Если же иметь в виду, что в подобные бюллетени попадают сведения только о наиболее серьезных атаках защищенных КС, а большинство хулиганских атак остаются вне поля зрения CERT (Computer Emergency Response Team) и подобных ей организаций, профессионально занимающихся фиксацией и анализом действий злоумышленников в компьютерных сетях, то в реальности доля "банковских" взломов оказывается значительно меньшей.

Global Hell в законе?

Global Hell умер - да здравствует Global Hell. Эта нелегальная хакерская группировка, к которой ФБР имеет массу претензий, намерена провозгласить себя легальной.

Global Hell, ранее занимавшаяся взломом разнообразных интернет-сайтов, решила, если верить ее собственным заявлениям, отказаться от этой незаконной деятельности. "Наше сообщество не является хакерской группировкой", - сообщил один из основателей группы, выступающий под псевдонимом Mosthated (букв. - самый ненавидимый).

Группировка gH привлекла к себе особое внимание правоохранительных органов США в начале этого года, после того, как именно на нее была возложена ответственность за изменение содержания официального веб-представительства Белого Дома. Через некоторое время после этой акции ФБР предприняло определенные мероприятия, направленные против нескольких активистов gH в США.

Арестов не производилось, однако компьютерное оборудование было конфисковано федеральными властями.
В ответ на рейд ФБР в киберпространстве была развязана настоящая война: патризанами электронного леса были взломаны многочисленные веб-сайты, на каждом из которых были оставлены оскорбительные тирады в адрес ФБР и слова поддержки действиям gH. Последней каплей, переполнившей чашу терпения ФБР, явилась, по всей видимости, активная атака на его собственное веб-представительство, в результате которой доступ к сайту ФБР был закрыт.

30 августа 1999 г. в результате совместного следствия, проведенного ФБР и представителями армейской группы по борьбе с уголовными преступлениями, был арестован 19-летний Чад Дэйвис из Висконсина, известный также под псевдонимом Mindphasr, один из основателей группировки gH. Ему было предъявлено обвинение во взломе компьютера Пентагона.

Сразу же после ареста Дэйвиса в Сети воцарилась тишина: администраторы веб-серверов, опасавшиеся массированной электронной атаки, так ее и не дождались. В рамках одного из чатов IRC, где собирались и общались участники группы gH, было принято совместное решение: никакого ответа на арест Дэйвиса. Это решение было выполнено, несмотря на то, что не существует никаких правил, обязательных для выполнения всеми членами группировки. "Нет никакого контроля, - говорит один из участников gH, скрывающийся за псевдонимом "nostalg1c", - Мы просто знаем, что мы должны делать, а чего делать не стоит".

Группа Global Hell представляет из себя нестабильную "тусовку", состоящую из 15-20 участников, возраст которых колеблется от 13 до 29 лет, проживающих в США, Канаде, Бельгии и юго-восточной Азии. В группе только одна девушка. Все участники группы - люди довольно тяжелой судьбы, среди них имеются бывшие наркоманы, которые нашли в Интернете свое спасение от неминуемой гибели, один из членов группы уже имел неприятности с Законом относительно компьютерных взломов еще в 1980-х. Все они познакомились с компьютером и Интернетом в очень раннем возрасте (большинство - в возрасте 10-12, самый юный участник gH, "Jaynus", начал исследовать и модернизировать программное обеспечение своего компьютера с Win 3.1 в возрасте 9 лет).

Несмотря на то, что деятельность группировки привела пока к аресту только одного ее участника, такой "провал" соответствующим образом повлиял на всех остальных членов сообщества. "Мы вдруг резко повзрослели и поняли, что хакерство является своего рода тупиком, из которого практически нет выхода: можно попасть за решетку или сменить профиль и начать делать то же самое для крупных сетей и корпораций за зарплату, или стать консультантом.

Многие в gH так и поступили", - говорит Mosthated.

Другой участник группы gH, 18-летний "f0bic", сформулировал свои убеждения еще проще: "Арест Дэйвиса помог мне понять, что хакерство просто не стоит того, чтобы из-за него попасть за решетку".

С недавнего времени большая часть членов группировки gH переключилась на сканирование Сети: они находят неполадки в системах защиты веб-серверов и сообщают о замеченных неполадках системным администраторам. В некоторых случаях к их сообщениям прислушиваются, в большинстве - игнорируют. Как сказал один из членов gH, "Ben-z":

"Это вполне законно. Можно ходить по улице и заглядывать в окна домов - в этом нет ничего такого.

Преступление начинается, когда ты разобьешь окно и влезешь в дом".

В отношении атакуемой системы хакер может выступать в одной из следующих ролей:

постороннее лицо, не имеющее легального доступа к системе. Хакер может атаковать систему только с использованием общедоступных глобальных сетей-

сотрудник организации, не имеющий легального доступа к атакуемой системе. Более вероятна ситуация, когда в такой роли выступает не сам хакер, а его агент (уборщица, охранник и т.д.).

Хакер может внедрять в атакуемую систему программные закладки (см. ниже).

Программная закладка – это программа или фрагмент программы, скрытно внедряемый в защищенную систему и позволяющий злоумышленнику, внедрившему его, осуществлять в дальнейшем НСД к тем или иным ресурсам защищенной системы.

Основная опасность программных закладок заключается в том, что, программная закладка, являясь частью защищенной системы, способна принимать активные меры по маскировке своего присутствия в системе. При внедрении в систему закладки в защищенной системе создается скрытый канал информационного обмена, который, как правило, остает
ся незамеченным для администраторов системы в течение длительного времени. Практически все известные программные закладки, применявшиеся в разное время различными злоумышленниками, были выявлены либо из-за ошибок, допущенных при программировании закладки, либо чисто случайно.

Перехватчики паролей были разработаны в разное время для целого ряда операционных систем, включая OS/370, MS-DOS и многие версии Windows и UNIX. Перехватчик паролей, внедренный в операционную систему, тем или иным способом получает доступ к паролям, вводимым пользователями при входе в систему. Перехватив очередной пароль, закладка записывает его в специальный файл или в любое другое место, доступное злоумышленнику, внедрившему закладку в систему.

Перехватчики паролей первого рода.

Перехватчики паролей первого рода действуют по следующему алгоритму. Злоумышленник запускает программу, которая имитирует приглашение пользователю для входа в систему и ждет ввода. Когда пользователь вводит имя и пароль, закладка сохраняет их в доступном злоумышленнику месте, после чего завершает работу и осуществляет выход из системы пользователя-злоумышленника (в большинстве операционных систем выход пользователя из системы можно осуществить программно). По окончании работы закладки на экране появляется настоящее приглашение для входа пользователя в систему.

Пользователь, ставший жертвой закладки, видит, что он не вошел в систему, и что ему снова предлагается ввести имя и пароль. Пользователь предполагает, что при вводе пароля произошла ошибка, и вводит имя и пароль повторно. После этого пользователь входит в систему, и дальнейшая его работа протекает нормально. Некоторые закладки, функционирующие по данной схеме, перед завершением работы выдают на экран правдоподобное сообщение об ошибке, например: "Пароль введен неправильно. Попробуйте еще раз".

Основным достоинством этого класса перехватчиков паролей является то, что написание подобной программной закладки не требует от злоумышленника никакой специальной квалификации. Любой пользователь, умеющий программировать хотя бы на языке BASIC, может написать такую программу за считанные часы. Единственная проблема, которая может здесь возникнуть, заключается в программной реализации выхода пользователя из системы. Однако соответствующий системный вызов документирован для всех многопользовательских операционных систем, известных автору. Если злоумышленник не поленится внимательно изучить документацию по операционной системе, то он решит данную проблему очень быстро.

Перехватчики паролей первого рода представляют наибольшую опасность для тех операционных систем, в которых приглашение пользователю на вход имеет очень простой вид. Например, в большинстве версий ОС UNIX это приглашение выглядит следующим образом:

Задача создания программы, подделывающей такое приглашение, тривиальна.

Если хакер сумеет подсмотреть или подобрать пароль легального пользователя, он может перейти в роль пользователя или администратора-

пользователь системы, обладающий минимальными полномочиями. Хакер может атаковать систему, используя ошибки в программном обеспечении и в администрировании системы-

администратор системы. Хакер имеет легально полученные полномочия, достаточные для того, чтобы успешно атаковать систему. Для нейтрализации этой угрозы в системе должны быть предусмотрены средства противодействия несанкционированным действиям администраторов-

разработчик системы. Хакер может встраивать в код системы "люки" (недокументированные возможности), которые в дальнейшем позволят ему осуществлять несанкционированный доступ (НСД) к ресурсам системы.

Профессиональный уровень хакеров варьируется в очень широких пределах. В роли хакера может выступать как школьник, случайно нашедший программу взлома на одном из серверов Internet, так и профессионал. В телеконференциях Internet неоднократно встречались сообщения о существовании организованных хакерских групп, поставивших взлом компьютерных систем на коммерческую основу. Руководство такими группами осуществляется профессионалами высочайшей квалификации.

В дальнейшем под словом "хакер" мы будем подразумевать наиболее высококвалифицированных хакеров, действия ко
торых представляют наибольшую угрозу безопасности защищенных систем. Можно выделить следующие характерные черты такого хакера:

1.Хакер всегда в курсе последних новинок науки и техники в области компьютерной безопасности. Он регулярно просматривает материалы хакерских серверов Internet, читает хакерские телеконференции (newsgroups), выписывает несколько журналов по компьютерной безопасности.

2.Перед тем, как атаковать систему, хакер собирает максимум информации о ней. Он заранее выясняет, какое программное обеспечение используется в системе, старается познакомится с ее администраторами. Зная личные качества администратора, проще искать ошибки в политике безопасности системы.

3.Хакер не пренебрегает оперативно-техническими и агентурными методами. Для проникновения в защищенную сеть может быть достаточно поставить "жучок" в кафе, где обычно обедают администраторы.

Например, известный американский хакер Кевин Митник взломал защищенный сервер одной компании, поковырявшись в мусорном ящике, стоявшем рядом с ее зданием: после долгих поисков он нашел обрывок бумаги, на котором был записан пароль для доступа на сервер. В другой раз Митник позвонил администратору КС и ввел его в заблуждение, убедив в том, что он является легальным пользователем системы, забывшим свой пароль. Администратор сменил пароль тому пользователю, за которого Митник выдавал себя, и сообщил его Митнику.

4.Перед тем, как атаковать систему, хакер по возможности опробует средства атаки на заранее изготовленной модели. Эта модель представляет собой один или несколько компьютеров, на которых установлено то же программное обеспечение и соблюдается та же политика безопасности, что и в атакуемой системе.

5.Хакер не атакует систему, пока не будет уверен (или почти уверен) в успехе.

6.При первой атаке системы хакер обычно пытается внедрить в атакуемую систему программную закладку. Если внедрение закладки проходит успешно, вторая атака уже не требуется.

7.Атака системы происходит быстро. Администраторы обычно узнают об атаке только после ее окончания.

8.Хакер не использует особенно изощренных алгоритмов атаки системы – чем сложнее алгоритм атаки, тем больше вероятность ошибок и сбоев при его реализации.

9.Хакер не осуществляет атаку вручную – он пишет необходимые программы. При атаке системы чрезвычайно важна быстрота действий.

10.Хакер никогда не атакует систему под своим именем или со своего сетевого адреса.

11.Хакер заранее продумывает порядок действий в случае неудачи. Если атака не удалась, хакер старается замести следы. Если это невозможно, он старается оставить ложный след. Если, например, атака производится через Internet, ложный след можно оставить, проведя очень грубую и заведомо неудачную атаку системы с другого адреса. При анализе журнала аудита администратору будет трудно заметить следы основной атаки среди огромного количества зарегистрированных событий.

12.Если в атакуемой системе предусмотрен аудит, хакер старается его отключить.

13.Программная закладка, внедренная в систему, заметна только хакеру. С точки зрения других пользователей система работает как обычно.

14.При обнаружении программная закладка самоуничтожается. Кроме того, часто закладка программируется так, что ее самоуничтожение происходит, когда ей долго никто не пользуется.

В этом случае хакеру не нужно беспокоиться об уничтожении вещественных доказательств.

Искусство хакера заключается не в том, чтобы суметь написать программу, которая взламывает любую защиту, а в том, чтобы найти уязвимое место в конкретной системе защиты и суметь им воспользоваться. При этом наилучшие результаты достигаются при использовании самых простейших методов "влезания" в выявленные "дыры" в защите ОС. Чем проще алгоритм атаки, тем больше вероятность того, что атака пройдет успешно возможности хакера по предварительному тестированию алгоритма атаки обычно сильно ограниченны.

Возможность практической реализации той или иной атаки на ОС в значительной мере определяется архитектурой и конфигурацией ОС. Тем не менее, существуют атаки, которые могут быть применены практически к любым операционным системам. К ним относятся следующие атаки:

&n
bsp; 1.Кража ключевой информации. Может реализовываться с использованием следующих методов:

подсматривание пароля при вводе пользователем.

Существуют люди, которые могут подсмотреть вводимый пароль, глядя только на движения рук по клавиатуре. Поэтому то, что обычно при вводе пароль не высвечивается на экране, не гарантирует невозможность компрометации пароля-

получение пароля из командного файла. Некоторые ОС при сетевой аутентификации (подключении к серверу) допускают ввод пароля из командной строки. Если аутентификация происходит с использованием командного файла, пароль пользователя присутствует в этом файле в явном виде-

некоторые пользователи, чтобы не забыть свой пароль, записывают его в записные книжки, на бумажки, которые затем приклеивают к нижней части клавиатуры, и т.д. Для злоумышленника узнать такой пароль не составляет никакого труда. Особенно часто такая ситуация имеет место, если администраторы заставляют пользователей использовать длинные, труднозапоминаемые пароли-

кража внешнего носителя ключевой информации.

Некоторые ОС допускают использование вместо паролей внешних носителей информации (ключевые дискеты, Touch Memory, Smart Card и т.д.).

Использование внешних носителей повышает надежность защиты ОС, но в этом случае появляется угроза кражи носителя с ключевой информацией-

перехват пароля программной закладкой.

2.Подбор пароля. Могут использоваться следующие методы:

неоптимизированный перебор-

перебор, оптимизированный по статистике встречаемости символов и биграмм-

перебор, оптимизированный с использованием словарей вероятных паролей-

перебор, оптимизированный с использованием знаний о пользователе. В этом случае в первую очередь опробуются пароли, использование которых пользователем представляется наиболее вероятным (имя, фамилия, дата рождения, номер телефона и т.д.)-

перебор, оптимизированный с использованием знаний о подсистеме аутентификации ОС. Если ключевая система ОС допускает существование эквивалентных паролей, при переборе из каждого класса эквивалентности опробуется всего один пароль.

Все эти методы могут применяться в совокупности.

Если хакер не имеет доступа к списку пользователей ОС, подбор пароля пользователя представляет серьезную опасность только в том случае, когда пользователь использует тривиальный, легкоугадываемый пароль. Если же хакер получает доступ к списку пользователей, хакер может осуществлять перебор, не имея прямого доступа к атакуемому компьютеру или сети (например, хакер может унести список пользователей ОС домой и запустить программу перебора паролей на своем домашнем компьютере).

В этом случае за приемлемое время может быть подобран пароль длиной до 8-10 символов.

3.Сканирование жестких дисков компьютера. Хакер последовательно считывает файлы, хранящиеся на жестких дисках компьютера. Если при обращении к некоторому файлу или каталогу хакер получает отказ, он просто продолжает сканирование дальше.

Если объем жесткого диска компьютера достаточно велик, можно быть уверенным, что при описании прав доступа к файлам и каталогам этого диска администратор допустил хотя бы одну ошибку. При применении этой атаки все файлы, для которых были допущены такие ошибки, будут прочитаны хакером. Несмотря на примитивность данной атаки, она во многих случаях оказывается весьма эффективной. Для ее реализации хакер должен быть легальным пользователем ОС. Если в ОС поддерживается адекватная (или близкая к адекватной) политика аудита, данная атака будет быстро выявлена, но если хакер организует атаку под чужим именем (именем пользователя, пароль которого известен хакеру), выявление этой атаки ничем ему не грозит.

4.Данный метод можно применять не только для сканирования дисков локального компьютера, но и для сканирования разделяемых ресурсов локальной сети.

5."Сборка мусора". Если в ОС допускается восстановление ранее удаленных объектов, хакер может воспользоваться этой возможностью для восстановления объектов, удаленных другими пользователями. В простейшем случае хакеру достаточно просмотреть чужую "мусорную корзину".

Если хакер использует для сборки мусора программную закладку, он может "с

обирать мусор" не только на дисках компьютера, но и в оперативной памяти.

6.Превышение полномочий. Используя ошибки в программном обеспечении или администрировании ОС, хакер получает в системе полномочия, превышающие предоставленные ему согласно текущей политике безопасности. Превышение полномочий может быть достигнуто следующими способами:

запуск программы от имени пользователя, обладающего необходимыми полномочиями;

запуск программы в качестве системной программы (драйвера, сервиса, демона и т.д.), выполняющейся от имени ОС;

подмена динамически подгружаемой библиотеки, используемой системными программами, или несанкционированное изменение переменных среды, описывающих путь к такой библиотеке;

модификация кода или данных подсистемы защиты ОС.

7.Атаки класса "отказ в обслуживании". Эти атаки нацелены на полный или частичный вывод ОС из строя. Существуют следующие атаки данного класса:

захват ресурсов – программа захватывает все ресурсы компьютера, которые может получить. Например, программа присваивает себе наивысший приоритет и уходит в вечный цикл;

бомбардировка трудновыполнимыми запросами – программа в вечном цикле направляет операционной системе запросы, выполнение которых требует больших затрат ресурсов компьютера;

бомбардировка заведомо бессмысленными запросами – программа в вечном цикле направляет операционной системе заведомо бессмысленные (обычно случайно генерируемые) запросы. Рано или поздно в ОС происходит фатальная ошибка;

использование известных ошибок в программном обеспечении или администрировании ОС.

Если программное обеспечение ОС не содержит ошибок, и если в ОС соблюдается адекватная политика безопасности, все перечисленные атаки малоэффективны. Однако такая ситуация крайне маловероятна. Поэтому система защиты АБС обязательно должна быть устойчива к ошибкам программного обеспечения и администраторов. Меры защиты, которые должны быть предприняты для повышения устойчивости ОС к ошибкам, сильно различаются для разных ОС. Но какие бы меры защиты не принимались, полностью устранить угрозу преодоления хакером защиты ОС невозможно. Администраторы АБС должны так построить политику безопасности, что даже преодоление хакером рубежа защиты, создаваемого операционной системой, не позволило ему нанести серьезный ущерб АБС.

При определении адекватной политики безопасности целесообразно ориентироваться на требования класса защиты C2 "Оранжевой книги".

Предупреждение о "маскарадной" активности

CERT/SCC получил несколько уведомлений о следующих инцидентах: пользователи получают требования о выполнении некоторых действий, в результате которых пароли пользователей становятся известными злоумышленнику. Эти требования пользователи получают по каналам электронной почты, через широковещательные посылки или по телефону. В последнем зарегистрированном случае пользователю предписывалось запустить "тестовую" программу, предварительно установленную злоумышленником, которая запрашивала имя и пароль пользователя. В результате выполнения программы, имя и пароль пользователя отсылался по электронной почте на адрес злоумышленника, находящегося на удаленном компьютере. Несмотря на кажущуюся тривиальность, эксперты CERT отмечают, что подобным требованиям следуют БОЛЬШИНСТВО пользователей.

Последствия

Злоумышленник может получить доступ к системе благодаря несанкционированному использованию скомпрометированного пароля пользователя (возможно, привелегированного). Данная проблема имеет отношение не только к UNIX-системам и не только к сетям Internet.

Пример сообщения (перевод с оригинала)

Фирма OmniCore экспериментирует с отображением графики высокой разрешающей способности на дисплее Вашей операционной системы UNIX BSD 4.3. Нам нужна помощь в тестировании Вами нового продукта - игры TurboTetris.

Если Вы не очень заняты, пожалуйста, попробуйте нашу игру, запустив программу ttetris из директории /tmp.

В связи с необходимостью переинициализации Вашего экрана, вызванной использованием графики, Вам потребуется заново войти в систему. Пожалуйста, задайте свой настоящий пароль.

Спасибо за помощь. Вы о нас еще услышите!

Если нарушителю удается получить доступ к файлу паролей, он копирует его на свой компьютер и запускает программу подбора паролей. В настоящее время существуют алгоритмы, использующие поиск в больших словарях, позволяющие достаточно быстро осуществить подбор паролей даже на медленной машине. Опыт показывает, что в каждой системе найдется хотя бы один угадываемый пароль.

Атака "подбор пароля" (Brute Force) заключается в проведении попыток найти зарегистрированных пользователей с именами, задаваемыми по умолчанию, и паролями, которые можно угадать - примерно таким способом и пользуются хакеры. Подбор пароля производится по словарю, поставляемому с системой. Можно задавать типовые значения паролей, например, для входа в Windows. Хороший пример имени пользователя, задаваемого при установке системы - Administrator для Windows NT и bin для некоторых операционных систем UNIX. Хотя при обычных условиях, в случае попытки войти в систему с использованием такого имени, можно получить лишь информацию о версии операционной системы, некоторые реализации FTP позволяют пользователю с именем bin прочитать файл паролей.

Атаки типа "отказ в обслуживании" (Denial of Service) проверяет узлы сети на наличие уязвимости к атакам, приводящими их к такому состоянию, в котором она уже не сможет обрабатывать легальные запросы или аварийно завершится. Для этого злоумышленник может использовать такие атаки, как Finger или Ping бомбы, SYN flood и т.п.

Перехватчики паролей представляют собой вполне реальную угрозу безопасности операционных систем. Защита от этой угрозы реализуется комплексом мер и средств, включающем в себя как программно-аппаратные средства, так и административные меры защиты.

Для того, чтобы надежная защита от перехватчиков паролей могла быть построена, необходимо, чтобы операционная система поддерживала определенные возможности, затрудняющие функционирование перехватчиков паролей (см. пп. 3,5). Поскольку эти возможности поддерживаются не всеми операционными системами, не в любой операционной системе возможно построение эффективной защиты от перехватчиков паролей. Единственной операционной системой из числа известных автору, в которой построение такой защиты возможно, является Microsoft Windows NT. Для организации надежной защиты от перехватчиков паролей в других операционных системах, включая MS-DOS, Windows 3.x, Windows 95 и все известные автору версии UNIX, потребуется значительная работа по созданию дополнительных средств защиты.

Однако даже в Windows NT невозможно построение эффективной защиты от перехватчиков паролей без использования дополнительных программных средств. В частности, необходимо дополнительное программное обеспечение, реализующее контроль целостности системных файлов и интерфейсных связей подсистемы аутентификации.

Миф 1: Чем сильнее защита, тем лучше для всех

На самом деле верно следующее утверждение: чем лучше система защищена от несанкционированного доступа (НСД), тем труднее с ней работать пользователям и администраторам. Система защиты, не обладающая интеллектом, не всегда способна определить, является ли некоторое действие пользователя злонамеренным, а потому она либо не пресекает некоторые виды НСД, либо запрещает некоторые вполне легальные действия пользователей.

Кроме того, любая система, в которой предусмотрены функции защиты информации, требует от администраторов определенных усилий, направленных на поддержание адекватной политики безопасности, и чем больше в системе защитных функций, тем больше времени и средств нужно тратить на поддержание защиты.

Наконец, следует иметь в виду, что если уровень защищенности системы превышает уровень C2 по "Оранжевой книге", ее подсистема защиты потребляет значительную часть ресурсов системы (для систем уровня B1 эта доля составляет 20-50%, а уровня B2 она может превышать 90%).

Таким образом, не следует делать защиту системы чрезмерно мощной. Для каждой системы существует оптимальный уровень защищенности, который и нужно поддерживать.

Наконец-то в США создан центр для борьбы с хакерами. Министерство финансов США, ряд крупнейших банков и инвестиционных компаний открыли новый центр, в задачу которого будет входить контроль за преступностью в Internet. Центру вменяется в обязанности обнаружение деятельности хакеров во всемирной сети и извещение банков и финансовых институтов о грозящей им опасности. Создание такого центра в Америке уже давно стало насущной необходимостью, ведь по статистике нападениям хакеров подвергаются 64% компаний в год. РБК

(Разделы, посвященные способам защиты от хакеров, здесь опущены. Но они есть, и это утешает)

Комментарии

Добавить статью

в гостевую книгу

Будем рады, если вы добавите запись в нашу гостевую книгу. Будьте добры, заполните эту форму. Необходимой является информация о вашем имени и комментарии, все остальное – по желанию… Спасибо!

Если у вас проблемы с кириллическими фонтами, вы можете воспользоваться автоматическим декодером AUTOMATIC CYRILLIC CONVERTER.

Для ввода специальных символов вы можете воспользоваться вот этой таблицей. (Латинские буквы с диакритическими знаками вводить нельзя!)

Перейти в гостевую книгу