Взломы.

Этот топик не есть попытка дать полную классификацию атак. Это просто попытаться разобраться в том, а зачем все это? И что сделать, чтобы этого не произошло. Хотя бы в самых общих чертах.

Кстати, для ответа на последний вопрос, все-таки луше понимать как это происходит и самому убедиться в том, что сломать вас довольно хлопотное занятие.

Собственно, именно цели взлома определяют что будет (и будет ли) происходить дальше в случае, если вас кто-то пытается поломать. Они же определяют использование соответствующих инструментов (по большей части).

Т.е. собственно, вариантов может быть всего два (по большому счету) -- DoS или именно чистый взлом. Вопрос в последствиях (в том числе и для вас лично).

Сообщение отредактировано: the_Shadow - 22.06.03, 21:28

1. DoS.
"Отказ в обслуживании". Это самое тупое, что только может быть. Но, в ряде случаев вещь нужная. Т.е. делается нечто, приводящее либо к отказу отдельного сервиса, либо к "падению" всей системы в целом. Последствия -- самые разные -- от простой перезагрузки серванта до долговременного отказа системы.

Что конкретно делается -- см. соотв. эксплоиты.

Зачем это может быть нужно.
1. "Кибертерроризм" в его чистом виде. Пример -- не столь давние атаки на сервера DNS, приведшие к отказу ряда сегментов Сети.

2. Вредительство е-коммерции некоторой конторы. Пока, к счастью, России это не касается, но вообще-то в мире это -- довольно распространенная практика "конкуррентной" борьбы в ее самом грязном проявлении.

Почти в топик пример. Как-то я нашел инфу о том, что банки Великобритании скрытно выплатили за один год порядка 10 млрд. ф. ст. бандитам, угрожавшим их системам при помощи "электромагнитной пушки". Т.е. понятно, что про DoS в данном случае и собаки не лают, но сам факт такого рода выплат говорит о том, что е-коммерция для бизнеса чертовски важна и "за ценой не постоят..."

3. Более прозаическое применение -- при необходимости подменить клиента. Т.е. к примеру, есть некий хост, где в hosts.allow прописаны хосты, откуда к нему можно коннектиться. Соответственно, в hosts.deny -- все остальное. А нам, как на грех, ну просто крайне необходимо приконнектиться к этому хосту и нашего адреса в hosts.allow нет. Чего делать-то? В ход идет подмена адреса и... Правильно... Обрушение какого-то хоста из hosts.allow. Пока он поднимается, пока выясняют почему это нельзя приконнектиться, почему не работает то или это... Правильно. Проходит время, а его может оказаться более чем достаточно.

2. Чистый взлом.
Это целая группа атак, имеющая целью одно -- получение на атакуемой системе учетной записи, наделенной максимальными правами доступа. Результат -- зарутить систему. Идет от UNIX'овского root.

Я называю это именно "чистым взломом", т.к. со стороны все выглядит тихим и спокойным, а на самом деле, система вам уже не принадлежит.

В ход идет все -- от атак методом переполнения буффера до атак на использование троянов или атаки по словарю (перебор паролей по словарю, brute-force attack).

Как правило, такие атаки возможны по двум причинам:

1. Недостатки в защите информации (прежде всего со стороны администратора).
Глупо думать, что пользователь в состоянии выбрать себе нормальный и трудновзламываемый пароль. Правило "верхней левой клавиши" специалист по аудиту или кредитованию знать абсолютно не должен.

Все просто. Берем слово -- "Song", к примеру. Смотрим на клаву. И получаем "W9ht" (у меня ноутбук, поэтому клава несколько смещена). Далее. Для пущей радости добавляем еще какие-нибудь полезные слова (для увеличения длины пароля). Скажем, сделаем, "Song_of_Networking&Delphi" (мммм... пример "учебный"!). Обрабатываем так же, но знаки подчеркивания и амперсанда оставляем на месте -- с ними веселее. Получаем "W9ht_9r_H35294iht&E3o0y8". Запомнить легко? Я имею ввиду "базовый пароль"? А перебрать? ;D Попробуйте! ;D

Это мы поговорили только о паролях. А трюков еще море!

Далее. Применение потенциально ненадежных систем и слабая их защита. Сам по себе Internet и TCP/IP (про NetBIOS, NetBEUI и SNA вообще, и собаки не лают) создавались без учета того, что кто-то будет чего-то противозаконное учинять.

А здесь, еще и тугой на голову админ руку приложил. Как пример -- бездарная конфигурация Apache позволяет довольно легко провести на него атаку DoS, а необдуманное применение "web-рулей" и кривая конфигурация софта по конфигурации UNIX-системы (типа webmin'а), базирующихся на его основе, позволяют получить доступ к системе. Как пример -- тупая конфигурация swat (средство для конфигурации Samba на UNIX-cистемах, порт 901) позволила несколько раз получить доступ к домену на базе Windows NT. То же, к стати, web-руль.

2. Софт, имеющий дыры. Т.е. написаный с нарушением элементарных правил безопасности. Пример. Об атаках переполнением буффера говорили и говорят уже много времени. Но до сих пор в ряде сырцов я встречаю gets() без проверки длины строки. Это ведет к тому, что ваша система потенциально уязвима перед атакой переполнением буффера. В современных Windows-системах дело еще хуже -- проверьте сами работу классов MFC и, соответственно, работающих на их базе приложений.

Далее. Зачем все это делается.
1. Интересна та контора, где вы работаете (ее деятельность). Если вы считаете, что интересны именно вы, то не стоит себя переоценивать... ;D
2. Ситсема интересна как "плацдарм" или "зомби", т.е. используется для последующих атак, причем без риска подставить самого взломщика. Со стороны атакумой системы выглядит так, как если бы ломали именно вы и в таком случае доказать что вы -- не верблюд чертовски сложно.

Сообщение отредактировано: the_Shadow - 23.06.03, 07:27

3. Инструментальные средства взлома.

Эксплоиты. Откуда они образуются. Не из воздуха -- проверено. ;D

Как правило, хакеры исследуют системы на предмет тех или иных уязвимостей. Любой из них имеет свои предпочтения или, другими словами, "почерк" (в криминалистике это называется modus operandi -- образ действий). Кто-то интересуется переполнением, кто-то троянами, кто-то червями... Таким образом, по интересам, собираются "команды" или team'ы.

Однако, есть и другая разновидность хакеров -- хакеры-универсалы. Одиночки или ронины (безземельные самураи в древней Японии). Этим, как правило, все по-ровну. По идее, некто Нео из широкоизвестных "Матриц" и являлся таковым.

Если первые вполне предсказуемы, т.к. имеют хотя бы какое-то подобие социальной структуры, то со вторыми все веселее. Именно они, как правило, и являются "неучтенным фактором". Как пример. Был такой проект -- OpenHack, по-моему, т.е. некая контора в сети выставила несколько систем, объединила их в подсеть и сказала, что тот, кто взломает и прочтет некую секретную фразу (скажу сразу -- "Большая часть пользователей выбирает никуда негодные пароли", по-моему, так и звучала, поправьте, если я вру), тому -- сервак в Сети и права рута на него. Победил мужик, эксперт по безопасности из Португалии. Он использовал модем на 33.6 и Перл для взлома системы. Не плохо, не правда ли? ;D

Заметьте -- ни слова о "крекерах" -- именно тех козлах, которые и несут деструктивное начало в Сети. Это -- как правило, скрипторукие детишки (script kiddie), или script kittens, которые ничтоже сумняшись используют плоды чужого труда. Т.е. вполне возможно выкачать гору эксплоитов и ломать все, для чего найдется подходящий.

Итак, что же такое "эксплоит". Все довольно просто -- есть дыра, она найдена и исследована (т.е. ясно что нужно сделать и к каким последствиям это приведет). Описания дыр и их использования как правило, приводится в bugtraq'ах. Наилучший, по моему скромному мнению, есть на http://www.securityfocus.com. Все понятно, но на чистом аглицком.

Вот пример (наугад). http://www.securityfocus.com/archive/1/326310/2003-06-20/2003-06-26/0. Все понятно и все красиво.

Сообщение отредактировано: the_Shadow - 23.06.03, 18:47

4. Виды эксплоитов.

По идее, всего 2 -- локальный и удаленный. Зависит от использования уязвимости. Т.е. некоторые "срабатывают" при работе через сеть, для использования других, необходимо иметь минимальные права на атакуемом хосте.

Чего еще-то? ;D Опосля...

5. Руткит.
Рутовый набор. Этот термин пришел из UNIX, где ряд программ, имеющих аттрибут SUID, использовался в качестве "троянских коней" для сбора паролей или иных действий. Т.е., скажем, есть программа su, позволяющая изменить (подставить) учетную запись пользователя. На вскрытую систему заливалась su.c, компилировалась и... Ну, думаю, дальше ясно.

6. Backdoor.
Довольно занятная штучка... К примеру. Есть некая система, на ней "крутится" некий софт. Ну, пусть не регулярно, не все время up-time, но работает (желательно, конечно, чтобы up-time был по-больше). Делается так.

1. Берется исходник этого софта, тот же, скажем, MySQL, правится неким образом, чтобы срабатывал (скажем, сливал на машину атакующего некоторые файлы ) по получении на входе какой-то команды (своего рода регистрация в системе ;D).

2. Компилируется, заливается, заменяя старый.

7. Троянский конь.
В отличии от п. 6 интересен тем, что даже не пытается имитировать полезную деятельность. Прост и туп как четыре сольдо.

8. Снифферы.
Позволяют прослушивать сегмент LAN (как правило, т.к. аналогичные технологические решения есть в WAN только в какой-то (я об этом только слышал) америкосовской сети -- RoadRunner, что ли -- как-то вот так)... Основная задача -- перевод карты в "неразборчивый" режим и перехват и логгирование всех пакетов, а не только тех, которые для данной карты. Меры пресечения:
1. Есть софт, сканирующий подсеть на предмет карт, работающих в таком режиме.
2. Шифрация трафика.

Для начала, IMHO, хватит... Кто продолжит?

Все хорошо и правильно, но немножко хочу поправить уважаемого коллегу или даже добавить по поводу разделения на хакеров и кракеров
   Немного не согласен с тем, что кракеры - это скрипторукие детишки, кот. используют плоды чужого труда. На самом деле среди них достаточно часто встречаются не менее талантливые люди чем хакеры. Они также пишут эксплойты, кстати, побольшому счету и те и другие пользуются всетаки готовыми продуктами ;D. Просто эти две группы населения ;D преследуют разные цели, ты правельно сказал, что целью кракеров являются именно деструктивные действия, как то кстати, DoS-атаки, то есть отказ в обслуживании сети или системы. А хакеры имеют своей целью "захват компьютера" дабы утащить самое ценное - информацию, ну или же чисто в учебно-познавательных целях.
Вот пока.

Привет всем.Можно я выскажу свое мнение.В моем понимание что такое хакер и кракер:
хакер - человек занимающийся проникновением в систему локально или удалено.Кракер - человек занимающийся взломам программ.А то разглогольствование по поваду что плохие ребята которые занимаются хакингом ради личной наживы - это кракеры а я хороший я иследую только я хакер , то ,IMHO, бред.
 

Сообщение отредактировано: Zveruga - 24.06.03, 18:40

9. Социальная инженерия  :

Суть метода можно сформулировать так "везде работают люди"... Причем эти люди обладают таким спектром "уязвимостей", что никакому M$ и не снилось. Этот метод часто используется профи, и практически не используется "начинающими" )))... Просто тут скаченными эксплойтами с большой кнопкой [hackIt] не отделаешься... Надо включать голову, причем в весьма творческом режиме.

Общая стратегия:
наиболее интересными и потенциально уязвимыми местами являются:
- бывшие сотрудники // часто имеющие зуб на руководство и т.д.. могут продать / рассказать какую-то военную тайну )))
- новые сотрудники // они еще плохо узнают голоса начальства и особенно сисадмина по телефону (как бы намек), мало кого знают в лицо, бояться напортачить, протупить, протормозить и т.д... )))
- уставшие, задолбаные бестолковыми директивами админы, несущие груз ответственности за сохранность, работоспособность, отказоустойчивость и т.д... извечно отрывемые от изучания логов и новых прорех в их системах звонками типа "почему наш новый зам. договорного отдела не до сих пор не имеет доступа к такому-то файлу... вы знаете что заказчик уже 2 часа назад должен был получить... " ну понятно в общем ))))
- ..........

Сообщение отредактировано: the_Shadow - 25.06.03, 09:57

Насчёт хакеров/кракеров. Вот одна цитата с одного из забугорных форумов:

Цитата

Actually, hacker means a [blue]really good coder[/blue], for example: Guy who [blue]wrote Perl[/blue],  guy who [blue]wrote PHP[/blue], guys who [blue]wrote C[/blue], guy who [blue]wrote UNIX[/blue], guy who [blue]wrote LINUX[/blue], they are hackers.
Crackers, on the other hand, are the [red]bad ones[/red] that the media calls hackers... this is really an insult... for example: guy who [red]wrote Melissa[/red], guy who [red]wrote the Anna Kornikova one[/red]...

И ещё:

Цитата

Hackers are the ones that do it for the [blue]better of technoligy[/blue]. I.E. hacking a site to find the vonabilityes then [blue]fixing them[/blue].
Crackers are the ones that do it for a [red]bad reason[/red]. I.E. [red]personal profit[/red], [red]dringing down the server/network[/red].

Я с этим полностью согласен.

З.Ы. Давайте не будем разводить оффтопик. :

Сообщение отредактировано: Al - 25.06.03, 08:53

Согласен с =Alex='ом и в части определений, просто сам все-таки не хотел ссылаться на авторитеты и с тем, что обсуждение того, хороший или плохой "дядя хакер" есть, все-таки офтопик... Хотя, на западе есть разделение "white-hat hacker", "black-hat hacker", он же "cracker"... ;D

В обществе есть определенные понятия и определения сложившихся терминов, в связи с этим незачем самому придумывать что-то новое. Поэтому я изложил своими словами суть вещей.
П.С. Я не к тому что не согласен с кем-то в его понимании сути дела, просто к сведению.