Уязвимость удаленных соединений


Расширенные методы


Расширенные методы
Расширенные методы В предыдущих главах уже были рассмотрены многие средства, используемые хакерами. Хотя мы и пытались систематизировать все стандартные инструменты, некоторые из них все же не укл...
Захват сеанса
Захват сеанса Сетевые устройства поддерживают весь корпоративный поток сообщений. Каждое сообщение электронной почты, каждый файл, каждый номер кредитной карточки клиента передается по сети и обр...
Juggernaut
JuggernautОдна из первых попыток применить на практике теорию захвата TCP была предпринята Майком Шиффманом (Mike Schiffman), в результате чего появился продукт Juggernaut (возможно, многие вспомн...
Hunt
HuntУтилита Hunt (ее можно найти на Web-узле http://www.cri.cz/-kra/index.html#HUNT) — это еще одна программа перехвата, отличающаяся стабильностью работы. Ее автор, Павел Крауз (Pavel Krauz) созд...
Контрмеры против захвата соединений
Контрмеры против захвата соединенийПрименение шифрующих коммуникационных протоколов, например IPSec или SSH, позволит значительно снизить или свести к нулю эффективность таких перехватов данных. К...
"Потайные ходы"
"Потайные ходы" Если непрошеные гости обоснуются в системе, избавиться от них бывает трудно. Даже если брешь, которой они воспользовались, будет найдена и закрыта, злоумышленники могут...
Создание фиктивных учетных записей
Создание фиктивных учетных записейПочти каждому системному администратору известно, что учетные записи с правами суперпользователя — это такие ресурсы, которые легко защищать и контролировать. А в...
NT/2000
NT/2000В Windows NT/2000 привилегированные локальные учетные записи легко создать с помощью следующих команд. net user <имя_пользователя><пароль>/ADDnet localgrcup <имя_группы>&l...
UNIX
UNIXВ системе UNIX фиктивные учетные записи создаются и идентифицируются аналогичным образом. Как правило создаются безобидные учетные записи с нулевыми значениями идентификаторов UID и GID. Следу...
Novell
NovellВ системе NetWare типичным является создание "осиротевших" объектов, т.е. создание, например, контейнера с одним пользователем, а затем передача этому новому пользователю прав опек...
Загрузочные файлы
Загрузочные файлыВ предыдущих главах много говорилось о "потайных ходах", которые создаются с помощью механизмов загрузки, поддерживаемых различными платформами. Такой способ стал излюбл...
NT/2000
NT/2000В операционной системе Windows NT в первую очередь нужно проверить различные папки, находящиеся в папке Startup: %systemroot%\profiles\%username%\ start menu\programs\startup (папка All Use...
Использование броузера Web для загрузки кода
Использование броузера Web для загрузки кодаПоявление в мае 2000 года сценария ILOVEYOU, написанного на языке Visual Basic,  послужило свидетельством того, что есть и другие способы запуска и...
В диалоговом окне Internet Explorer
Рисунок 14.1. В диалоговом окне Internet Explorer, содержащем предупреждающе сообщение, пользователь указывает, нужно ли загрузить файл на компьютер локально или запустить его с удаленного узла. В...
Контрмера не запускайте исполняемые
Контрмера: не запускайте исполняемые файлы, найденные в Internet!Должно быть понятно и без слов (хотя на протяжении многих лет это повторяется много раз): нужно быть предельно осторожным по отноше...
UNIX
UNIXВ системе UNIX взломщики часто помещают программы, предназначенные для создания "потайного хода", в файлы rc.d. Следует проверить каждый из таких файлов и убедиться, что в них не сод...
Novell
NovellФайлы startup.ncf и autexec.ncf системы NetWare позволяют определить, какие программы, параметры и загружаемые модули системы NetWare (NLM — NetWare Loadable Module) будут запущены при загру...
Запланированные задания
Запланированные заданияНапример, в системе Windows NT простой "потайной ход" можно реализовать, установив утилиту netcat, которая будет ежедневно запускаться в назначенное время. C:\>...
Контрмеры защита от запланированных заданий
Контрмеры: защита от запланированных заданийДля того чтобы предотвратить эту атаку в системе NT, с использованием команды at проверьте список заданий на предмет наличия в нем несанкционированных з...
Удаленное управление
Удаленное управлениеВполне возможна ситуация, когда взломщик не сможет вернуться на целевой компьютер, даже обладая необходимыми регистрационными данными. Это может произойти, если некоторые служе...
Netcat
netcatВ этой книге ранее уже упоминался "швейцарский армейский нож", утилита netcat (ее версии как для системы NT, так и для UNIX можно найти по адресу http.//www. 10pht.com/~weld/netcat...
В системном реестре NT4 установлено
Рисунок 14.2. В системном реестре NT4 установлено, что в процессе загрузки системы будет загружаться утилита netcat...
Remote exe (NT)
remote.exe (NT)Утилиту remote из набора NTRK можно запустить в качестве сервера, чтобы командная строка возвращалась любому аутентифииированному пользователю NT, который подключился с помощью соот...
Loki
lokiПрограммы loki и lokid, кратко рассмотренные в главе 11. предоставляют взломщикам простой механизм повторного получения доступа к взломанной системе, даже если она расположена позади брандмауэ...
Back Orifice и NetBus
Back Orifice и NetBusХотя оба этих средства по своей природе являются графическими (NetBus даже предоставляет некоторые возможности по управлению рабочим столом), они главным образом удаленно вызы...
Контрмеры защита против Back Orifice (и других программ)
Контрмеры: защита против Back Orifice (и других программ)Попытки использования Back Orifice (а также служб FTP, telnet, SMTP, HTTP и т.д.) легко обнаружить, используя бесплатную утилиту фирмы Netw...
Перенаправление портов реверсивный
Перенаправление портов: реверсивный ceaнc telnet, netcat, datapipe, rinetd и fpipeВ предыдущих разделах некоторые команды удаленного управления, основанные на использовании командного процессора,...
Реверсивный сеанс telnet
Реверсивный сеанс telnetОдин из любимых взломщиками "потайных ходов" во взломанную систему может быть реализован с помощью демона telnet, входящего в комплект поставки многих версий UNIX...
Захват командной оболочки с помощью утилиты netcat
Захват командной оболочки с помощью утилиты netcatЕсли на целевой компьютер можно поместить утилиту netcat, или если она там уже установлена, то можно воспользоваться аналогичным методом. Такой по...
Запустив утилиту netcat на компьютере
Рисунок 14.3. Запустив утилиту netcat на компьютере взломщика (на рисунке показан его рабочий стол) и на целевом узле, можно "захватить" удаленную командную оболочку. Команды, которые вв...
Datapipe
datapipeРеализация перенаправления портов с помощью утилиты netcat и ручная настройка этого процесса может оказаться довольно хлопотным делом. В Internet можно найти несколько программ, которые пр...
Rinetd
rinetdУтилита rinetd — это "сервер перенаправления Internet", созданный Томасом Бутеллом (Thomas Boutell). Эта программа перенаправляет соединения TCP с одного IP-адреса и порта на друго...
Fpipe
fpipeУтилита fpipe предназначена для передачи/перенаправления данных с порта TCP. Ее разработали авторы этой книги, занимающие ключевые позиции в компании Foundstone, Inc. Эта программа создает по...
Перенаправление портов
Рисунок 14.4. Перенаправление портов Пользователи должны знать, что, если при задании порта-источника исходящего соединения был использован параметр -в и это соединение было закрыто, может оказ...
VNC
VNCРассмотренные ранее средства удаленного управления предоставляют возможность практически полного контроля над системой. Поэтому при одной только мысли о возможности получения в свои руки виртуа...
Взлом X Windows и других графических терминальных служб
Взлом X Windows и других графических терминальных службНа узлах UNIX, на которых не ограничивается исходящий трафик приложения xtenn (TCP 6000). можно модифицировать некоторые из приведенных ранее...
Общие контрмеры против "потайных
Общие контрмеры против "потайных ходов": профилактический осмотрВы познакомились с многочисленными средствами и методами, к которым прибегают взломщики для создания "потайных ходов&...
Средства автоматизации
Средства автоматизацииКак говорится, легче предотвратить, чем обезвредить. Многие современные коммерческие антивирусные программные продукты неплохо работают, автоматически сканируя систему в поис...
Ведение учета
Ведение учетаПредположим, что все принятые меры предосторожности не помогли и система все же оказалась взломанной. В такой ситуации единственным оружием против почти всех описанных ранее приемов с...
Кто прослушивает порты
Кто прослушивает портыВозможно, это очевидно, но никогда не стоит недооценивать мощь утилиты netstat. которая позволяет выявить факт прослушивания портов программами, которые аналогичны рассмотрен...
Удаление подозрительных процессов
Удаление подозрительных процессовЕще одна возможность выявления "потайного хода" заключается в проверке списка процессов на наличие в нем таких исполняемых файлов, как nc, WinVNC. exe и...
Таблица 14 1 Номера портов используемые
Таблица 14.1. Номера портов, используемые программами и удаленного управления при создании "потайных ходов" "Потайной ход" Порт TCP, используемый по умолчанию Порт UDP,...
Отслеживание изменений файловой системы
Отслеживание изменений файловой системыДля перегруженных работой администраторов сама мысль о регулярном обновлении полного списка файлов и каталогов может показаться безумной, поскольку это требу...
Таблица 1 4 2 Используемые пo
Таблица 1 4.2. Используемые пo умолчанию имена исполняемых файлов утилит удаленногоуправления "Потайной ход" Имя файла(ов) Возможность переименовать remote (NT) remote . ехе...
Загрузочный файл и параметры системного реестра
Загрузочный файл и параметры системного реестраВзломщикам было бы неинтересно создавать "потайной ход", если бы после обычной перезагрузки системы или после удаления администратором како...
Аудит проверка учетных записей
Аудит, проверка учетных записей и ведение журналов регистрацииЭто последняя по порядку, но не по степени важности, контрмера, поскольку невозможно идентифицировать вторжение, если не активизирован...
Программы типа "троянский конь"
Программы типа "троянский конь" Как уже упоминалось во введении, "троянский конь" — это программа, которая для вида выполняет какие-нибудь полезные действия, однако на самом д...
BoSniffer
BoSnifferЧто может быть лучше, чем инфицирование какой-нибудь системы с помощью программы, предназначенной для поиска "потайных ходов"? Утилита BoSniffer, которая вроде бы призвана выявл...
ELiTeWrap
eLiTeWrapОчень популярной программой типа "троянский конь" является eLiTeWrap. Она предназначена для "упаковки" многочисленных файлов в один исполняемый файл и последующей их р...
Библиотека FPWNCLNT DLL для Windows NT
Библиотека FPWNCLNT . DLL для Windows NTОдна из тайных задач программ типа "троянский конь" состоит в их маскировке под системный компонент регистрации в системе и захвате имен/паролей п...
Контрмеры
КонтрмерыЕсли нет необходимости в синхронизации паролей между системами NT и NetWare, удалите файл FPNWCLNT.DLL из каталога %systemroot*\system32. Следует проверить также поддерево системного реес...
Разрушение системного окружения
Разрушение системного окружения: "наборы отмычек" и средства создания образа состояния системы До сих пор речь шла о многочисленных способах размещения в системе скрытых ловушек, чтобы...
"Наборы отмычек"
"Наборы отмычек"Что произойдет, если под контролем взломщика окажется сам код операционной системы? Предпосылки такого подхода появились еще в те времена, когда компиляция ядра UNIX иног...
Контрмеры против "наборов отмычек"
Контрмеры против "наборов отмычек"Если оказалось, что нельзя доверять даже командам Is или dir, значит, пришло время признать себя побежденным: создайте резервные копии важных данных (но...
Создание образа системного окружения
Создание образа системного окружения для нейтрализации механизма проверки контрольных суммСуществует несколько средств для создания зеркального образа системных томов (табл. 14.3). Эти мощные утил...
Таблица 14 3 Некоторые технологии
Таблица 14.3. Некоторые технологии копирования состояния системы и связанные с ними программные продукты Технология Программный продукт Адрес URL Дублирование жестких дисков Image MASS...
Контрмеры
КонтрмерыФизическая безопасность всегда должна быть во главе списка защитных мероприятий любой информационной системы. Двери с надежными замками могут предотвратить атаки, направленные на копирова...
Социальная инженерия
Социальная инженерия Последний раздел этой главы посвящен методу, наводящему наибольший ужас на тех, кто отвечает за сохранность информации,— социальной инженерии (social engineering). Хотя этот т...
Необразованный пользователь и "справочный стол"
Необразованный пользователь и "справочный стол"Однажды авторы, проявив достаточную настойчивость, просмотрели списки контактных данных сотрудников компании, адреса электронной почты и но...
"Справочный стол" и растерянный пользователь
"Справочный стол" и растерянный пользовательВ предыдущем примере было интересно наблюдать за тем, какое гипнотизирующее влияние маска руководителя оказала на стоящих на более низком уров...
Контрмеры
КонтрмерыВ этой главе описаны самые разнообразные атаки. Некоторые из них выглядят безграничными в своих проявлениях, и кажется, что их очень трудно предотвратить (например, поиск информации в отк...
Резюме
РезюмеВ этой главе вы познакомились со способами захвата соединений TCP в сети с множественным доступом, а также с тем, как взломщики могут получить доступ к системе,, передавая команды для локал...


Начало