Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Неуловимый хакер № 3: Одинокий «социопат»
Таких не так уж много. Такой тип хакера наиболее близок к вашим представлениям. Он молод, ярок и, вероятнее всего, является либо студентом, либо недавним выпускником, еще не нашедшим направления своей деятельности. Однако на такого хакера вы, скорее всего, не наткнетесь в потемках вашей базы данных.
Неуловимый хакер № 4: «Хактивист»
Это новейшая и наиболее пугающая категория компьютерных преступников. «Хактивист» считает себя политическим деятелем, реформатором и даже воином. Некоторые доходят до того, что приравнивают себя к террористическим группам и берут клички «кибер-джихад», «Джи-Форс Пакистан» и «Доктор Нукер» (cyber-jihad, G-Force Pakistan, Doktor Nuker). Другие преследуют необычные политические цели, используя логику не менее бестолковую и запутанную, чем у «Унабомбера». Более часто в такую категорию попадает молодой человек, имеющий тесные связи с политически нестабильными регионами, например с Ближним Востоком или Восточной Европой. В основном являясь яркими личностями, многие из таких хакеров действительно обучились компьютерному искусству в Соединенных Штатах. Некоторые могли здесь и остаться, днем поддерживая корпоративные сети, а по ночам атакуя политические цели. Атаки «хактивистов» простираются от причинения беспокойства объектам атаки посредством искажения внешнего вида веб-сайтов до прямого экономического вредительства.
Очевидно, в такую категорию входят как разочаровавшиеся идеалисты, так и религиозные фанатики. «Хактивизм» тем не менее не может сводиться к ограниченному кругу подозреваемых. «Хактивистами» могут стать экстремисты любых мастей. Сюда могут входить радикально настроенные защитники прав животных и экстремисты среди защитников природы. Возможности есть у каждого, кто имеет политическую программу и доступ в сеть. Действительно, наибольшая угроза может исходить от изгоев (таких, как «Унабомбер»[71]) с целями, важными только для себя, для страны или террористической организации.
О применяемых инструментах
Теперь, когда вы знаете, на кого в действительности похож хакер (на любого из нас!), вы, вероятно, размышляете о том, какую подготовку надо иметь для такой трудной работы. К сожалению, небольшую.
Хакеры используют различные инструменты для взлома систем и скрытия своих следов, чтобы избежать обнаружения. Миф об исключительности хакеров, несомненно, возник из-за того, что инструменты их ремесла являются действительно выдающимися шедеврами программирования. Однако немногие хакеры сами пишут программы для используемых ими инструментов. Большинство из них являются рядовыми солдатами, просто собирающими необходимые им инструменты из открытых источников. Насколько открытых? Непродолжительная прогулка по Интернету покажет вам, как легко можно получить многие из хакерских инструментов. А теперь добавьте к этому все то, что можно получить в подпольной среде. Все, что для этого нужно, — это «зарегистрироваться» в хакерской электронной доске объявлений и получить доступ к другим хакерам, и вас будут постоянно снабжать новейшими и превосходными инструментами для поиска и кражи информации. Это похоже на клуб — один хакер передает найденный им инструмент другому хакеру, который передает его еще одному хакеру, и т. д. И чем больше инструментов имеет хакер, тем легче ему будет взломать вашу систему.
Прогулка с хакером
Остальная часть этой главы покажет вам, что будет делать хакер после того, как он окажется в вашей сети. Это реальная расшифровка действительно произошедшего взлома. В данном случае эксперт по безопасности подвергшейся нападению компании обнаружил вторжение и записал каждое нажатие клавиши.
В ходе этой прогулки помните, что хакер искал информацию и доступ к другим системам для получения еще большего количества информации. Компании, о которой идет речь, повезло по двум причинам. Во-первых, они обнаружили хакера сразу после начала атаки. Во-вторых, им невероятно повезло в том, что хакер просто «разглядывал витрины» и не оставил за собой каких-либо разрушений.
Идя за хакером, также помните, что он может в следующей своей прогулке забрести и в вашу округу…
Что делал хакер…
Строка № 1
Когда этот хакер взломал систему в декабре, он использовал гостевую учетную запись, созданную без пароля. После того как он взломал систему, он добавил свой собственный пароль к гостевой учетной записи и учетной записи, названной "ingres", после чего он мог легко получать доступ с регистрацией в любое удобное время.[72]
Строка № 2
Команда "who" проверяет и показывает, нет ли кого еще в системе. Наш друг не хочет, чтобы кто-либо в системе его заметил.
Строка № 5
Эта строка копирует коммуникационную программу, названную "kermit", в текущий рабочий каталог хакера. После этого он может использовать kermit для пересылки инструментов для работы с защитой, которые он будет применять для получения доступа к системам и информации. Заметьте, что большинство хакеров пересылают свои собственные инструменты для работы с защитой, чтобы упростить себе работу. Некоторые хакеры слишком мало знают об операционных системах и просто используют инструменты, написанные людьми, которые в этом действительно разбираются.
Строки с № 6 по № 25
Теперь хакер использует известную программную ошибку для получения прав суперпользователя по доступу к системе. (Хакер пишет несколько строк программы для переполнения буфера в rdist и затем засылает команды в rdist, которые исполняются.) Если бы в систему были установлены правильные патчи, то это не было возможным!
1 valley% sh
2 $ who
3 ingres ttypO Jan 18 23:02
4 root ttyp2 Jan 15 18:38 (canyon)
5 $ cp /home2/jeff/bin/kermit,orig kermit
6 $ kermit
7 C-Kermit 5A(178) ALPHA, 29 Jan 92, SUNOS 4.1 (BSD)
8 Type? or HELP for help
9 C-Kermit>rece fi
10 Escape back to your local Kermit and give a SEND command…
11 # N3
12 0Yz*@-#Y1-N!y-13
13 %!YfiO
14 #" [email protected]
15 ##YA
16#$YB
17#%YC
18#&YD
19C-Kermit>
20 Stopped
21 valley% sh
22 Stopped (signal)
23 valley% sh
24 переполняет буфер (удалено из соображений безопасности)
25 $ /tmp/sh
Строки с № 26 по № 27
Хакер теперь имеет права доступа суперпользователя (root). Он уже внутри! Он устанавливает режим и разрешения и изменяет имя на нечто такое, что он, вероятно, не забудет. Заметьте, что он удаляет файл /tmp/sh, так как не хочет оставлять какого-либо следа своего визита.
Строка № 28
Он ошибается в написании команды.
Строки с № 29 по № 45
Он выдает команду ls (list) с параметром — t (time), определяющим формирование списка файлов каталога с новейшими файлами в начале списка. Выдается список файлов.
Строки с № 46 по № 48
Просто еще одна проверка на отсутствие в системе кого-либо. Большинство хакеров продолжают проверять систему на наличие в ней других регистраций на протяжении всей атаки.
Строка № 49
Здесь он использует команду grep для поиска строки "est". (Параметр — i говорит UNIX, что допустимы символы как верхнего, так и нижнего регистров.) Предположительно, хакер ищет наличие других регистрации в системе из домена DNS".West". (Если вы не знакомы с UNIX, то "grep" — это общая команда, расшифровывающаяся как Grab Regular Expression. В основном grep используется для поиска в системе конкретной строки, имеющейся в файлах этой системы.)
26 # rm /tmp/sh
27 rm: override protection 755 for /tmp/sh? у
28 # Isll
29 # Is — tal
30 total 1049
31 drwxr-xr-x4 ingres 512 Jan 18 23:04.
32 — rwsrwsrwx 1 root 24576 Jan 18 23:04 suck
33 — rw-r-r-1 root 61 Jan 18 23:04 c.c
34 — rwxr-xr-x 1 ingres 442368 Jan 18 23:03 kermit
35 — rwxrwxrwx 1 ingres 360448 Jan 16 11:02 testit
36 drwxr-xr-x 30 root 1024 Dec 18 20:27..
37 — rw-r-r-1 ingres 1148 Jun 9 1992 foo
38 drwxrwsrwx 6 ingres 6144 Aug 23 1991 SERVICE
39 — rwxr-xr-x 1 ingres 106496 Feb 25 1991 sun4Jookup
40 — rwxr-xr-x 1 ingres 98304 Feb 25 1991 sun3_lookup
41 drwxr-xr-x 3 ingres 512 Jan 23 1991 quoter
42 — rw-r-r-1 ingres 306 Nov 20 1987.cshrc
43 — rw-r-r- 1 ingres 1159 Nov 20 1987.install
44 — Г-Г-Г-1 ingres 20 Nov 20 1987.version
45 — rw-r-r- 1 ingres 36 Jan 26 1987.oemstring
46 # who
47 ingres ttypO Jan 18 23:02
48 root ttyp2 Jan 15 18:38 (canyon)
49 # last | grep — i est
Строки с № 50 по 57
Теперь он ищет что-то конкретное — "lorin". Очевидно, "lorin" не входил в систему с того времени, как хакер в последний раз взломал систему и удалил файл с учетными записями (16 января). Хакер пытается найти "lorin" в /etc/passwd с помощью команды grep, но ошибается при наборе команды. Затем он вспоминает, что именем пользователя, о котором он думает, является "lorimo", а не "lorin". Это значит, что наш парень побывал здесь раньше.
Строки с № 58 по 61
Взломщик редактирует программу С, чтобы изменить ID пользователя на 21477. Эта новая настройка позволяет ему переключить пользователя на "lorimo".
Строки с № 62 по № 66
