Раздел: Документация

0 ... 48 49 50 51 52 53 54 ... 169

Бесспорно, добросовестный хакер сделает все возможное, чтобы максимально приблизиться к объекту атаки. Розуотер открыл на имя

руководителя группы легальный банковский счет на сумму 1000

долларов. С этим счетом группа могла работать по телефону или через пилотный Web-узел, к которому имело доступ ограниченное число работников банка.

Найти ахиллесову пяту

Покончив с предварительными изысканиями, группа злоумышленников начинает составлять схему сети. Указываются IP-адреса,

физическое размещение устройств, порты для управления устройствами и связи через коммутируемую сеть, телефонныемодули голосового ответа, сети под SNA, серверы, поддерживающие услуги Routing and Remote Access Service от Microsoft, маршрутизаторы и прочие точки, где происходит аутентификация удаленных абонентов.

В составлении такой карты значительную помощь могут оказать некоторые широко распространенные методы и средства анализа. Например, порывшись как следует на Web-узле InterNIC, можно получить массу информации о структуре IP-сети компании. Существуют специальные программы — «демоны», которые автоматически перебирают десятки тысяч телефонных номеров, реагируя только на тоновые сигналы от модемов, — таким образом можночто трубку на противоположном конце «снял» компьютер. протоколов позволяет ознакомиться с трафиком, передаваемым по обнаруженным IP-каналам организации. Проникнув в сеть, хакер способен применить анализаторы протоколов для слежения за трафиком и

перехвата паролей.

Группа оценки системы защиты обязательно должна вести учет всех своих действий. Если выяснится, что на систему оказывается

вредное воздействие, контрольный журнал поможет разобраться в

произошедшем и устранить последствия такого вмешательства.

Следующий шаг состоит в том, чтобы проанализировать масштаб IP-области, связанной с компанией (т. е. узнать, имеет она IP-адрес класса В или С); это можно сделать помощи InterNIC или

любого другого средства. Например, воспользовавшись командой

nslookup, мы выяснили, какие IP-адреса можно атаковать. Затем хакеры зашли по telnet на Unix-машину, на которой была установлена программа Sendmail 5. х, в чьей системе защиты имеется ряд дыр; через них можно попытаться проникнуть на почтовый сервер.

155

---

Обнаружилось, что системный оператор не входил в систему

уже 19 дней; испытатели расценили это как недостаток системы защиты. Выяснилось также, что в настоящий момент в системе работают

два человека; испытатели решили дождаться, пока они выйдут, и только тогда начать атаку. Кроме того, хакеры запустили специальную программу, которая помогла им скрыть свои настоящие IP-адреса и имена.

Для поиска других слабых мест в системе защиты хакеры воспользовались средствами оценки надежности защиты данных Internet

Scanner от Internet Security Systems и бесплатной программой Satan. Сгодятся и другие программы, например, Netective от Netect, Ballista

от Secure Networks и NetSonar от Wheel Group. Многие из этих фограмм можно бесплатно загрузить через Internet.

У каждого из продуктов есть свои достоинства и недостатки, по-ому, чтобы прикрыть все «дыры», хакеры запасаются несколькими

ограммами. Эти средства помогут найти плохо сконфигурированные

ерверы, маршрутизаторы с «дырами», проблемы в системной базе

(registry) Windows NT, неправильно сконфигурированные операционные системы, неустановленные протоколы, слабые пароли, неправильные версии программного обеспечения и устаревшие «заплаты».

Хакеры опробовали и парочку психологических приемов. Прикинувшись инженером из компании-производителя, один из них пару

раз позвонил в группу разработки информационных систем банка и

получил данные о структуре сети банка. Кроме того, хакерам удалось раздобыть довольно подробные данные о пеком работнике банка; потом один из них притворился этим работником, получив в свое распоряжение дополнительные средства доступа к электронным ресурсам.

Вооружившись результатами сканирования, информацией из

открытых источников и данными, полученными с помощью психологических приемов, группа полностью подготовилась к штурму информационной системы банка. Бесспорно, самым серьезным моментом

операции была именно попытка взлома. Нужно быть очень внимательными, чтобы не нанести серьезного ущерба системе защиты данных. В таких делах следует избегать легковесных подходов: аккуратно проникнуть в систему куда труднее, чем запустить средство сканирования сети и составить отчет.

Взлом

Группа взломала банковский компьютер, воспользовавшись слабостью парольной защиты, обнаруженными старыми версиями почто-

156

---

пых программ (чьи хорошо известные «дыры» в системе защиты так и не были залатаны), telnet-доступом к незащищенным портам. Кроме того, они загружали по FTP файлы с паролями и меняли их. Может быть, кому-то покажется, что все это чересчур просто, однако большинство «дыр» защиты связано именно с тем, что в организации отсутствует практика каждодневного выполнения неких

операций.

В корпоративную сеть можно войти через сервисы TCP/IP, порты управления на включенных в сеть компьютерах и офисных АТС, принимающих участие в передаче данных. Можно также воспользоваться дополнительными средствами, выявленными на этапе исследования сети.

Что касается сети банка, то были выявлены две его слабые точки. Во-первых, порт технического обслуживания AS/400 был закрыт паролем, установленным производителем по умолчанию; в результате, взломщики получили возможность делать с этой системой все, что угодно. Во-вторых, на почтовом сервере имелась устаревшая версия Unix, на которую не установилизаплаты. Там обнаружи-

лось несколько дыр; в частности, можно было отправлять почту и записывать файлы в корневой уровень каталога. Таким образом, взломщики получили контроль над этим сервером, после чего смогли взаимодействовать ссерверами науровне.

Далее потребовалось составить себе представление о внутренней

инфраструктуре сети. Чтобы обнаружить слабые места, взломщики

воспользовались средствами автоматического взлома паролей. Выяснилось, что недостаточно надежно защищены система управления приложениями, средства системного управления, системные утилиты, а также средства управления операционными системами на корневом уровне.

Вот пример того, почему система оказывается недостаточно надежной. Предположим, что внешний канал TCP/IP приходит на Сервер 1, работающий под Windows NT. Остальные семь серверов (со второго по восьмой) могут взаимодействовать с внешним миром только

через Сервер 1; следовательно, этот сервер «перекрывает» единственный путь проникновения в систему извне. Администраторы часто думают, что для обеспечения безопасности системы нужно лишь закрыть к ней доступ снаружи. На защиту внутренних каналов передачи

информации обращают куда меньше внимания, что значительно облегчает жизнь хакеру.

157

0 ... 48 49 50 51 52 53 54 ... 169