Раздел: Документация

0 ... 122 123 124 125 126 127 128 ... 169

ми полиции по его поимке. Выяснилось, что последние три месяца он жил неподалеку от Вашингтонского университета под именем Брайан Меррилл и работал в местной больнице компьютерным техником.

-В Сжптлс он вел совершенно безобидную жизнь, — заявил федеральный обвинитель Айван Ортман.

-Это был очень тихий, совершенно обычный человек, — вторила ему Шерри Скотт, секретарь отдела, в котором работал Мнтпик. -Он никогда не говорил о своей личной жизни, просто приходил и занимался своим делом.

Дуэль титанов

Очевидно, чувствуя, что он уже подошел к кульминационному моменту своей биографии, наш герой решился на отчаянный шаг, который должен был либо навеки вписать его имя в анналы мировой ха-истории, либо так же навеки бесславно уронить во тьму забвения.

В тихую рождественскую ночь 25 декабря 1994 года, когда ведущий специалист США по компьютерной безопасности Дутому Шимо-мура поехал на каникулах покататься на лыжах в Неваду, кто-то проник в егодомашний компьютер в городке Бич, Калифорния, и устроил там форменный дебош.

Позже многие говорили, что Mm инку просто не повезло — он выбрал для нападения не того человека. Другие полагают, что Митник, одержимый своего рода манией величия, элементарно зарвался.

Любопытна и третья точка зрения, которую высказал обозреватель «Time» Джошуа Кнттнер: Митник устал быть мальчиком, затерянным в киберпространстве, и бессознательно хотел, чтобы его наконец поймали.

Но Митник вовсе не хотел быть пойманным! Он вторгся в домашний компьютер Шимомуры - известнейшего специалиста, в частности, благодаря своим разработкам по предотвращению вторжения в компьютерные системы. Он бросил вызов противнику, которого считал себе по плечу, и тот волей-неволей был вынужден поднять перчатку.

События развивались так: в ночь под Рождество, взломав защиту компьютера Шимомуры, Митник начал копировать его файлы -сотни засекреченных файлов. На счастье некий дежурный в ту ночь лаборант из Центра Суперкомпьютеров в Сан-Диего, где работал Ши-момура, заметил изменения в системных «журнальных» (log) файлах

377

---

и быстро сообразил, что происходит. Шимомуру спасло то, что он успел установить на свой компьютер программу, автоматически копирующую «журнальные» записи на дублирующий компьютер в Сан-Диего.

Вот какописывал этот исторический взлом компьютера Ц. Ши-

момурыпри помощи IP-базированной атаки (рассказ автора)

«Кажется, существует много мнений касательно взлома IP-адреса с целью соединения или мониторинга, описанного Д. Маркоффом 23 января 1995 года в статье в газете «Нью-Йорк Тайме» и справочнике «CERT СА-95:1». В данном документе приведены некоторые данные с моей презентации 11 января 1995 в Сономе, Калифорния, на CMAD-3. Надеюсь, что этот документ поможетвсе недора-

зумения касательно природы этих атак. Были применены два различных механизма атаки. использываемые IP-адрес и ТСР-указатель были взломаны для получения первичного доступа к бездисковой рабочей станции,в основном, в качестве После получения root-доступа произошло проникновение в существующее соединение системы под видом загрузочного модуля ядра STREAM. Данные, помещенные в этот документ, были взяты из реального пакетного лог-файла tcpdump, сгенерированного время этой атаки. В интересах лучшего понимания (и краткости!) некоторые данные были опущены. Я настоятельно рекомендую для изучения документ написанный С. Беловенном об управлении и зашите IP-адреса, так как в нем в деталях описываются все подробности TCP взлома; кроме того, там приведены некоторые предложения и рекомендации относительно защиты от подобных атак.

Моя конфигурация соответствовала данной: server = SPARC станция под управлением Solaris 1, обслуживающая мой «Х-терми-нал»- бездисковая SPARC станция под управлением

Solaris target = прямая непосредственная цель атаки.

Атака IP-проникновением началась приблизительно в 14:09:32, 25 декабря 1994. Первые попытки проникновения шли отcom

(следующие данные взяты из пакетных лог-файлов):

14:09:32 toad. com# finger -114:10:21 toad.

com* finger -1 @server 14:10:50 toad. com# finger -1 root@server 14:11:07 toad. com# finger -1 @x-terminal 14:11:38 toad, com* showmount -e x-terminal 14:11:49 toad, com* rpcinfo -p x-terminal 14:12:05 toad, com* finger -1 root@x-terminal

378

---

Предполагается, что основной целью данных попыток была попытка определения наличия и характера какого-либо соединения между двумя станциями, которые должны быть раскрыты при взломе. Номера исходного порта для showmount и rpcinfo указывают на то, что атакующий являлся root на toad. com. Приблизительно 6 минут спустя, мы увидели запросы на TCP SYN (запросы на инициализацию соединения), шедшие от 130. 92. 6. 97 к порту 513 (порт login) сервера. Целью этих запросов являлась попытка заполнить

очередь соединений для

порта 513 сервера «полуоткрытыми» соединениями. Это проводилось для того, чтобы сервер

не обрабатывал и не производил ответы на любые новые запросы. В частности, сервер не генерировал TCP в ответ на приходяшие TCP ACK. Так как порт 513 является также «привилегированным» портом (< IPPORTRESERVED), server, login теперь мог безопасно использоваться в качестве пересыльного автомата для начала атаки на UNIX «r-сервисы» (rlogin, rsh). 130. 92 . 6. 97 оказался случайным (несуществующим) адресом (не генерирующим никаких ответов на посылаемые

на него пакеты):

ЦцтомцШитчип по праву считало одним из ведущихруководителей в области компьютерной безопасности США

14:18:22. 516699 130. 92. 6. 97. 600 > server, login: S 1382726960:1382726960(0) win 4096 14:18:22. 566069

130. 92. 6. 97. 601 1382726961:1382726961(0) win 130. 92. 6. 97. 602 1382726962:1382726962(0) win

130. 92. 6. 97. 603

1382726963:1382726963(0) win 130. 92. 6. 97. 604 1382726964:1382726964(0) win

130. 92. 6. 97. 605

1382726965:1382726965(0) win

>server. login: S 4096 14:18:22. 744477

>server. login: S

4096 14:18:22. 830111

>server. login: S

4096 14:18:22. 886128

>server. login: S

4096 14:18:22. 943514

>server. login: S

4096 14:18:23. 002715

379

0 ... 122 123 124 125 126 127 128 ... 169