3.2. Взлом: некоторые примеры

3.2. Взлом: некоторые примеры

Можно ли говорить о защите в отрыве от методов взлома? Нет, скажут многие из читателей и, несомненно, будут правы.

Чтобы постичь суть или хотя бы понять, "как они делают это", рассмотрим следующие вопросы:

? какие из уязвимостей вашей системы могут стать воротами для вторжения извне;

? какие механизмы взлома используются хакерами чаще всего и как им противостоять.

Дабы не утомлять читателя классификациями, я постараюсь изложить суть, а именно: мы рассмотрим наиболее вероятные варианты взлома и частично (более подробно механизмы защиты рассмотрены в последующих главах) защиты – "два в одном".

ПРИМЕЧАНИЕ

В дальнейшем условимся, что у нашего виртуального пользователя установлена операционная система семейства Windows.

Итак, пожалуй, начнем. Вас решили взломать.

Потенциально уязвимыми местами вашей системы могут стать:

? необновленная, изобилующая многочисленными уязвимостями Windows и прикладное ПО:

• уязвимости служб и сервисов операционной системы (к примеру, уязвимость в службе LSASS, ответственной за авторизацию, управление учетными записями и пр.; или службе файлового сервера);

• уязвимости приложений, интегрированных в систему (к примеру, Internet Explorer, Outloook Express и т. д.);

• уязвимости прикладного ПО сторонних разработчиков ("Антивирус Касперского", OutPost Firewall и т. д.);

? настройки системы по умолчанию (к примеру, открытые для общего доступа диски C:, D:);

? человеческий фактор:

• пустые (как уже было упомянуто выше, достаточно часто пользователи оставляют учетную запись администратора с пустым паролем) или слабые (qwerty, 123, admin, 1987 и т. д.) пароли на вход в систему;

• ошибки администрирования (как пример – открытые порты).

ПРИМЕЧАНИЕ

У некоторых из читателей может возникнуть вопрос относительно того, что же такое есть порт. Фактически, порт – это приложение или служба, которая ждет, чтобы установить соединение извне (рис. 3.1).

Рис. 3.1. Команда netstat-an позволяет просмотреть ваши открытые порты

Следует отметить, что вышеперечисленные уязвимые места – далеко не полный список, а всего лишь наиболее распространенные варианты.

Какие механизмы взлома используются хакерами чаще всего?

Рассмотрим некоторые из них.

? Компрометация системы с использованием эксплоитов.

Пример: популярный в свое время KaHt2, который эксплуатирует уязвимость службы RPC (Remote Procedure Call – удаленный вызов процедур), позволяя удаленному пользователю получить доступ к компьютеру жертвы, посредством организации некоего подобия telnet-сеанса (рис. 3.2).

Рис. 3.2. Эксплоит Kaht2 в действии

? Взлом с использованием специализированного ПО:

• троянские кони (как пример – под картинкой новой знакомой может оказаться самый настоящий троянский конь – достаточно лишь открыть прикрепленный к электронному письму файл);

• черви (чтобы подцепить червя, вовсе не обязательно что-либо открывать – если система не залатана, червь сам вас найдет; например, MS Blast, используя уязвимость в службе DCOM RPC, инфицирует систему, что вызывает перезагрузку компьютера).

? Подбор паролей (как правило, осуществляется при помощи специализированного ПО. При этом перебор может вестись как по словарю, так путем "брут-форса" – перебором "грубой силой", то есть всеми сочетаниями символов). В качестве примера такого специализированного ПО достаточно привести утилиту Cain & Abel, возможности которой далеко не ограничиваются одним лишь перебором паролей (рис. 3.3).

Рис. 3.3. Утилита Cain & Abel в действии

Рассмотрим вариант, когда у взломщика есть физический доступ к компьютеру. Его цель – получить доступ в систему и скопировать ваш (будем предполагать) секретный документ. Для этого ему понадобится выполнить следующее.

1. Загрузиться с CD или USB-носителя.

2. Скопировать в другой среде (им загруженной) себе этот документ. Как он будет действовать? Вероятно, следующим образом.

1. Снимет пароль на BIOS (если он установлен, разумеется), чтобы произвести настройку на загрузку с носителя:

1) вытащив батарейку;

2) воспользовавшись соответствующей BIOS-перемычкой;

3) замкнув контакты на микросхеме.

ПРИМЕЧАНИЕ

В некоторых материнских платах раннего производства имелась возможность "сброса" BIOS-пароля посредством ввода так называемого заводского. Например, для микросхем производства AWARD пароль мог быть AWARD.

2. Загрузится с Live CD (как пример) и скопирует секретный документ (вполне возможно, что документ будет зашифрован встроенными средствами операционной системы, но это вряд ли остановит нашего взломщика, так как в настоящее время для большинства алгоритмов шифрования существуют парольные взломщики).

Возможные варианты противодействия:

? настроить BIOS на загрузку только с винчестера;

? установить пароль на BIOS;

? опечатать системный блок.

Другой вариант взлома, когда целью взломщика является установить тотальный контроль над системой (чаще всего конечной целью такого контроля является получение паролей).

Как он будет действовать? Вероятно, следующим образом.

1. Повысит свои привилегии в системе путем взлома учетной записи с правами администратора:

1) используя пустой пароль для учетной записи Администратор;

2) подсмотрев пароль;

3) применив специальное программное обеспечение вроде PWSEX; несмотря на весьма странное название, данная утилита позволяет восстановить большинство паролей всего за несколько секунд (рис. 3.4);

Рис. 3.4. Proactive Windows Security Explorer в действии

ПРИМЕЧАНИЕ

Стоит обратить особое внимание читателя на то, что утилиты вроде описанной для своей работы уже требуют прав администратора. "Так в чем же тогда суть взлома?" – спросят многие из читателей. А в том, что взломщиком может оказаться доверенное лицо, просто на пять минут получившее доступ в систему с учетной записью администратора, но, разумеется, не знающее пароль.

4) использовав специальное ПО для повышения локальных привилегий в системе.

2. Установит троянского коня (наиболее широкое понятие шпионского ПО), бэкдор (утилита удаленного администрирования) или клавиатурного шпиона (программа, перехватывающая ввод данных с клавиатуры).

Возможные варианты противодействия:

? регулярное обновление системы (заплатки всегда доступны на официальном сайте Microsoft);

? повседневная работа в системе с правами пользователя;

? установка (если не установлено) пароля на учетную запись Администратор;

? использование стойких паролей (не менее восьми символов из букв, цифр и специальных символов);

? удаление из системы неиспользуемых учетных записей, таких, например, как HelpAssistant и NetShowServices (Пуск ? Панель управления ? Администрирование ? Управление компьютером ? Локальные пользователи и группы ? Пользователи);

? ревизия локальных политик безопасности (в том числе контроль ветвей реестра, ответственных за автозагрузку);

? включение DEP (выполнение команды Мой компьютер ? Свойства ? Дополнительно ? Быстродействие ? Параметры ? Предотвращение выполнения данных);

? использование хорошей антивирусной программы с новыми базами.

Теперь рассмотрим третий вариант вторжения– вторжение из сети. Как будет действовать взломщик в подобном случае и какие инструменты взлома попытается применить? Варианты следующие.

1. Установит в систему троянского коня следующим образом.

1) Отправив вам на электронный ящик (или через ICQ) письмо с прикрепленным файлом – картинкой, – замаскированным троянским конем.

2) Все через ту же электронную почту (или другим способом, например на форуме) скомпрометирует пользователя перейти по некоторой ссылке, ведущей на сфабрикованную подставную страницу, содержащую злонамеренный JavaScript-код. В результате через уязвимости браузера троянский конь "зальется" в систему.

2. Получит удаленный доступ, использовав специальное ПО для повышения привилегий в системе.

ПРИМЕЧАНИЕ

В обоих перечисленных случаях вторжения через сеть для последующего контроля системы-жертвы взломщику понадобится как минимум знать ее IP-адрес. В случае подключения к Интернету с использованием динамических IP (выдаваемый пользователю каждый раз новый IP) взломщик должен будет узнать (как правило) ваш IP на текущий момент подключения. Как? Просто. В момент подключения к Интернету троянский конь отправляет на электронный почтовый ящик взломщика письмо, содержащее ваш IP.

3. Проникнет в систему, используя бреши в настройках безопасности (например, подключение через telnet).

Варианты возможной защиты:

? опять же, работа в системе без прав администратора;

? последняя версия антивирусной программы (подробно вопрос выбора антивируса рассмотрен в гл. 4) со свежими базами;

? установка хорошего межсетевого экрана (для нужд домашнего ПК можно рекомендовать Zone Alarm);

? ревизия политик безопасности (отключение общедоступных дисков C$, D$, неиспользуемых сервисов и т. д.).

Вышеперечисленные возможные варианты атак ни в коем случае не претендуют на исчерпывающее руководство, а приведены лишь как примеры, отражающие суть.

Следует отметить, что предварительным этапом практически любой атаки является сканирование портов. Сканирование портов проводится, чтобы узнать, какие из служб или сетевых сервисов установлены в системе и могут быть использованы для атаки.

Как пример – уже упоминавшийся в первой главе XSpider – отечественный сетевой сканер безопасности, который на сегодняшний день можно считать лучшим в своем классе. Резонно заметить, что отчет о сканировании XSpider включает в себя не только список открытых портов, но и подробное описание того, как устранить ту или иную обнаруженную брешь.

Приведенные выше возможные варианты реализуемы в большей своей части на рабочем ПК простого пользователя и подразумевают взлом, в случае если:

? есть физический доступ к машине;

? машина пользователя доступна по локальной сети (для получения более подробной информации про варианты взлома и защиты в локальной сети см. гл. 6).

А как будет действовать взломщик и какие инструменты применит, если его целью окажется веб-сервер? Ответ на этот вопрос можно было без труда найти в разд. 1.4 гл. 1, однако же будет совсем не лишним привести общую схему действий взломщика в подобной ситуации.

Сценарий действий взломщика в подобном случае может быть разбит по пунктам.

1. Сбор общей информации:

• версия операционной системы, установленной на сервере (UNIX-подобная, Windows 2003 и др.);

• версия HTTP-сервера (Apache, IIS);

• версия и особенности удаленного интерфейса управления сайтом, базами данных (bitrix, phpmyadmin);

• изучение структуры сайта (включает перебор доступных папок, например test; на чем написан и какие элементы использованы: HTML, PHP, Java Script, MySQL, Perl).

ПРИМЕЧАНИЕ

Сбор информации может вестись различными путями: возможны варианты с использованием специализированных сканеров безопасности или же "вручную".

2. Непосредственно взлом (используя XSS, SQL-Injection или другой из способов; более подробно варианты описаны в разд. 1.4 гл. 1).

3. Создание "потайного хода", через который впоследствии можно будет получить доступ к сайту даже при условии смены текущих паролей (одним из вариантов такого потайного хода является так называемая "заливка шелла", подразумевающая закачку на сайт сценария, который дает возможность выполнения произвольных команд).

4. Заметание следов (как правило, заключается в удалении записей из журналов безопасности).

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Взлом федералов

Из книги Искусство обмана автора Митник Кевин

Взлом федералов Люди часто не думают, какие материалы их организации доступны через Интернет. Для моего еженедельного шоу на KFI Talk Radio, в Лос-Анджелесе продюсер покопался в сети и обнаружил копию руководства для получения доступа к базам данных Национального Центра


6.1. Взлом и защита LAN

Из книги Защити свой компьютер на 100% от вирусов и хакеров автора Бойцев Олег Михайлович

6.1. Взлом и защита LAN В этом разделе мы поговорим о безопасности локальной сети в контексте возможных вариантов взлома. На конкретном примере рассмотрим, насколько уязвимой может быть система и что предпринять, чтобы превратить ПК в черный ящик для взломщика.В качестве


(8.7) Под W2k не хотят работать некоторые программы, требующие интенсивного обращения к CD приводу, такие как Audiograbber, CDEx, программы для записи CD-RW, некоторые DVD декодеры, и т. д..

Из книги Win2K FAQ (v. 6.0) автора Шашков Алексей

(8.7) Под W2k не хотят работать некоторые программы, требующие интенсивного обращения к CD приводу, такие как Audiograbber, CDEx, программы для записи CD-RW, некоторые DVD декодеры, и т. д.. Многие программы, требующие непрерывного потока данных идущих на или с CD/DVD привод, нуждаются в


7.4. Под XP не хотят работать некоторые программы, требующие интенсивного обращения к CD приводу, такие как Audiograbber, CDEx, программы для записи CD-RW, некоторые DVD декодеры, и т. д..

Из книги WinXP FAQ (Часто задаваемые вопросы по ОС Windows XP) автора Шашков Алексей

7.4. Под XP не хотят работать некоторые программы, требующие интенсивного обращения к CD приводу, такие как Audiograbber, CDEx, программы для записи CD-RW, некоторые DVD декодеры, и т. д.. Многие программы, требующие непрерывного потока данных идущих на или с CD/DVD привод, нуждаются в


Взлом и защита локальной сети

Из книги Компьютерные советы (сборник статей) автора Автор неизвестен

Взлом и защита локальной сети Автор: Олег БойцевИсточник: © компьютерная газетаВ рамках данной статьи мы поговорим о безопасности локальной сети. Особое внимание будет уделено вопросам защиты технического уровня и практическим рекомендациям по обеспечению безопасной


12.6. Взлом

Из книги Delphi. Трюки и эффекты автора Чиртик Александр Анатольевич

12.6. Взлом В заключение мы рассмотрим один из методов вскрытия шифров. Здесь мы попытаемся реализовать приложение, которое будет способно взломать шифр Цезаря. Оно будет основываться на одном довольно распространенном методе криптоанализа, который называется частотным


Взлом BBS

Из книги Создаем вирус и антивирус автора Гульев Игорь А.

Взлом BBS Существует большое количество программ, предназначенных для создания и поддержания работы BBS. Рассмотрим самую популярную среди них – Maximus.Несанкционированно проникнуть на BBS, получить доступ к закрытым областям, уничтожить информацию – такие задачи ставит


Взлом FTN-сетей

Из книги Призрак в Сети [Мемуары величайшего хакера] автора Митник Кевин

Взлом FTN-сетей Что можно сказать о широко используемой технологии FTN? Множество лазеек для взлома. Чего стоит почтовый файл PKT, содержащий в себе незашифрованный пароль, узнать который никаких проблем не составляет! А файлы с паролями в уважаемом всеми T-Mail, хранящиеся в


Глава 6 Взлом во имя любви

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

Глава 6 Взлом во имя любви Kyoo olxi rzr Niyovo Cohjpcx ojy dn T apopsy? [31] Ленни Ди-Чикко рассказал мне, что на этот раз, работая в авиакомпании Hughes, он завязал очень близкие отношения с одной девушкой из службы безопасности. Я должен был прийти в компанию ночью, когда эта девушка дежурила, и


1.1.2. Взлом WWW-сервера

Из книги Новый ум короля [О компьютерах, мышлении и законах физики] автора Пенроуз Роджер

1.1.2. Взлом WWW-сервера При взломе WWW-сервера есть свои особенности. Если на нем выполняются CGI/PHP или иные скрипты, то взлом проводится совершенно по-другому. Для начала нужно просканировать сервер на наличие уязвимых CGI-скриптов. Вы не поверите, но опять же по исследованиям


1.1.7. Взлом паролей

Из книги Выжить в цифровом мире. Иллюстрированные советы от «Лаборатории Касперского» автора Дьяков Михаил

1.1.7. Взлом паролей Когда взломщик пытается проникнуть в систему, то он чаще всего использует один из следующих способов:? если на атакуемом сервере уже есть аккаунт (пусть и гостевой), то можно попытаться поднять его права;? получить учетную запись конкретного


4.3.6. Взлом паролей

Из книги автора

4.3.6. Взлом паролей Я еще раз хочу напомнить о недопустимости использования простых паролей не только для администратора, но и для всех пользователей системы. Если проследить за уязвимостями, которые находят в Linux-системах, то очень часто можно увидеть сплоиты, которые


14.10. Взлом паролей

Из книги автора

14.10. Взлом паролей Очередной идиотизм, который могли придумать хакеры, — это подбор паролей. Когда взломщик не может изобрести ничего оригинального, он запускает подбор паролей. Об этом мы уже говорили в разд. 1.1.7, но тогда мы затронули эту тему только вскользь, а сейчас


14.13. Обнаружен взлом

Из книги автора

14.13. Обнаружен взлом Если вы обнаружили, что в системе есть посторонний, а сервер содержит секретную информацию, потеря которой может оказаться фатальной для вас, я рекомендую остановить сетевой интерфейс, чтобы компьютер отключился от сети, и начать анализ системных


Совет 52: Взлом смартфона

Из книги автора

Совет 52: Взлом смартфона Современные мобильные ОС несколько ограничивают свободу владельца смартфона, например не дают ему возможность изменять системные файлы. Сбросить эти оковы помогает «взлом» смартфона и получение прав администратора — эта операция называется