Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Оружие компьютерного подполья

Грег Шипли

Термин “компьютерный андеграунд” у одних он ассоциируется с миром обманщиков и мошенников, основополагающим стремлением которых стало желание наносить вред всем и вся. У других — с анархическим сообществом программистов, исповедующих беспристрастный подход к технике защиты информации. Но каким бы ни было ваше личное представление о хакерском “подполье”, уверяю вас, там обитают много талантливых людей и используемые ими средства весьма эффективны.

Прежде чем предложить вам краткий обзор хакерского инструментария, который мы тщательно отбирали на протяжении последних лет, я должен сделать заявление, что снимаю с себя определенную долю ответственности. Во-первых, в связи с тем, что эта статья никоим образом не может рассматриваться как всеобъемлющая, а во-вторых, далеко не весь упомянутый здесь инструментарий был разработан членами этого “подполья” — очень часто “подпольщики” просто пользуются им. И разумеется, для некоторых из вас боўльшая часть этих средств уже давно не в диковинку. Ну что ж, зато теперь и другие узнают кое-что о кое-каких используемых в настоящее время сетевыми профессионалами методах, о которых прежде они не имели ни малейшего представления.

На первом этапе оценки надежности системы защиты сети, как правило, делают сетевую рекогносцировку. Наиболее популярным средством для этого является программа Nmap, разработанная неким хакером, известным под псевдонимом Fyodor (www.insecure.org/Nmap/). Работающая только на платформе Unix, она вначале была обычным сканером портов, но со временем превратилась в один из самых мощных на сегодняшний день хакерских инструментов.

Nmap начинает и...

Программное средство Nmap отлично справляется с задачей идентификации работающих на хостах служб (listening services), но кроме этого в нем имеется впечатляющий набор функций, включая идентификацию ОС, UDP-сканирование и “скрытое” сканирование хостов с помощью пакетов SYN, FIN и RST. Средства, имеющиеся в Nmap, позволяют за относительно короткое время составить полную “карту” крупной сети (содержащей тысячи хостов) и выполнить ее сканирование, причем с поразительной точностью.

Способность одновременной идентификации типа хоста и работающих на нем служб в сочетании с гибким набором опций настройки временныўх параметров и синтаксиса делает Nmap идеальным инструментарием для получения “моментальных снимков” (snapshots) любой сети. Например, команда Nmap —O —p1—1024 10.1.0.0/16 —oM 10.1.0.0.Nmap, выполняя сканирование сети класса B, выявляет все хосты и их активные порты с номерами от 1 по 1024 включительно. После этого программа приступает к идентификации типа ОС каждого хоста, а затем помещает полученные результаты в файл 10.1.0.0.Nmap. Если вы являетесь администратором этой сети, то по завершении ее просмотра можете идентифицировать, блокировать или отключать ненужные службы и порты. Однако для выявления уязвимых мест корпоративной сети Nmap не является полномасштабным средством, например таким, как NetSonar фирмы Cisco, Internet Scanner фирмы ISS или Cybercop Scanner фирмы Network Associates. Традиционные сканеры безопасности не только обнаруживают активные порты/службы, они снабжены СУБД, в которых хранится информация об известных элементах сетевой уязвимости. Впрочем, в Nmap имеется целый ряд куда более “зловещих” возможностей, таких, как фальсификация (forging) пакетов и несколько остроумных способов настройки временныўх параметров, в том числе и для того, чтобы “обойти” пороги срабатывания систем обнаружения вторжений (Intrusion-Detection System — IDS).

Пакет Whisker — детище другого “умельца” по кличке Rain Forest Puppy (www.wiretrip.net/rfp/) — является в большей степени целевым средством и содержит внутреннюю БД известных элементов уязвимости. Средство Whisker было создано специально для сканирования Web-серверов на предмет выявления уязвимых CGI-программ. В отличие от Nmap пакет Whisker имеет узкую специализацию и полезен только в качестве сканера Web-серверов. Плохо написанные CGI-программы и сценарии давно стали излюбленными “потайными дверцами”, через которые возможен несанкционированный доступ к Web-серверам, защищенным межсетевыми экранами. Частенько о наличии таких уязвимых программ просто забывают, оставляя их на рабочих Web-серверах по ошибке или по недосмотру. Такая ситуация может возникнуть, как правило, вследствие неразберихи в вопросах разграничения полномочий, царящей во многих организациях среди их Web-мастеров, разработчиков приложений и системных администраторов. В прошлом году тысячи Web-узлов пострадали от проблем, связанных с ошибками в ранних версиях ПО Internet Information Server (IIS) фирмы Microsoft и продукта ColdFusion компании Allaire, а ведь вреда от этого могло быть гораздо меньше, если бы Web-администраторы данных узлов пользовались для профилактического сканирования своих Web-серверов такими средствами, как Whisker. Будем надеяться, что хакер Rain Forest Puppy будет своевременно обновлять свое творение.

Написанное на языке Perl ПО Whisker требует наличия в системе интерпретатора Perl. От других CGI-сканеров оно выгодно отличается развитой логикой функционирования и обширной базой известных элементов уязвимости Web-узлов. Для начала ПО Whisker выясняет версию исследуемого Web-сервера. К примеру, оно даже не пытается искать файл msadc.dll (DLL-библиотеку сервера IIS — хорошо известный потенциальный источник проблем) на не использующих ПО Microsoft Web-серверах. Такой высокий уровень интеллекта, а также поразивший нас факт наличия в собственной БД этого ПО гораздо большего числа элементов уязвимости, чем в коммерческих продуктах аналогичного назначения — Internet Scanner и Cybercop Scanner, — не оставляют ни малейшего сомнения в том, что оно полезно.

Что же касается техники “заметания следов”, то в Whisker имеется ряд опций для “маскировки” его деятельности. Например, при помощи ключа—I запросы маскируются таким образом, что в журнальных файлах они отображаются лишь в виде строк, вроде GET /%63%66%64%6f% 63%73/. У Whisker имеются и другие уловки для обмана IDS-систем, которые позволяют ему почти всегда оставаться незамеченным. В общем, в любом случае независимо от того, сколько серверов вы обслуживаете — один-единственный или целый комплекс, — целесообразность использования ПО Whisker для выявления уязвимых CGI-сценариев очевидна.

Unix-утилита Netcat, изобретенная еще одним “подпольщиком”, скрывающимся под псевдонимом Hobbit, уже существовала какое-то время до переноса ее членом группы L0pht по прозвищу Weld Pond на платформу Windows NT. Это событие буквально вдохнуло новую жизнь в Netcat (www.l0pht.com/~weld/ netcat/). Данное ПО обладает множеством полезных свойств, но наиболее известны его уникальные возможности по сканированию портов и “привязке” процессов к любому порту TCP или UDP подобно тому, как это делает демон inetd. Возможности Netcat в области сетевой диагностики просто поразительны по простоте их реализации и могут использоваться также для демонстрации некоторых интересных фактов. Например, если вы захотите когда-нибудь наглядно убедиться в эффективности применения технологии Stateful Inspection для отражения сетевых атак, попробуйте проделать следующее: отключите службу IIS на вашем сервере Windows NT и используйте Netcat для привязки модуля cmd.exe к порту 80 с помощью команды nc —l —p 80 —e cmd.exe, а затем при помощи telnet с внешней стороны вашего межсетевого экрана установите доступ к вашему Web-серверу через порт 80 (команда telnet <ваш IP-адрес> 80). Специально для исполнения этого трюка умельцы из eEye Digital Security создали программку под названием iishack.

ПО Netcat используется не только для прояснения всякого рода подозрительных ситуаций, но и как сканер портов и средство общей диагностики. С его помощью вы сможете проверять работу сетевых приложений, тестировать соединения в процессе формирования списков контроля доступа (ACL) для маршрутизаторов и межсетевых экранов, а также идентифицировать протоколы. Например, задействуя Netcat в качестве клиентского ПО, можно извлекать исходные (raw) HTTP-страницы посредством команды nc <рассматриваемый узел> 80 и введения HTTP-запросов GET вручную. Возможно, это и не такое уж великое достижение (то же самое проделывают и с помощью telnet), но только Netcat способен выдавать “сырую” информацию, не обращая внимания на всякие контрольные символы и последовательности. Даже если пока вы не ощущаете потребность в Netcat, вполне возможно, познакомившись с ним поближе, вы начнете пользоваться этим средством.

Еще одной полезной программой является winfingerprint — это утилита командной строки Windows NT, разработанная хакером по прозвищу Vacuum (www.technotronic.com/winfingerprint). Она обладает несколькими интересными свойствами, но главное ее преимущество — возможность получать разнообразные списки. Эта утилита может запрашивать у машин с ОС Windows NT списки пользователей, общих ресурсов (share lists), групп и служб, представляя результаты своих изысканий в формате HTML. Одной из уникальных особенностей winfingerprint является способность просматривать объекты Microsoft Network Neighborhood. Эту программу можно запустить, выбрав опцию Network Neighborhood, и с ее помощью не спеша задокументировать добрую часть сетевого окружения Windows NT.

Программа winfingerprint способна запрашивать информацию, не имея на то никаких регистрационных полномочий (logon credentials), — посредством нуль-сессии Windows. В сущности, нуль-сессия предоставляет неавторизованное соединение с машиной для анонимного сбора информации (например, для получения списков пользователей). Наличие нуль-сессий немного облегчает бремя администрирования, поскольку они чем-то сродни службе finger в ОС Unix. По этой же причине эти сессии представляют собой “мечту взломщика”: с их помощью он получает удаленный и анонимный доступ к данным о пользователях, разделяемых ресурсах и прочей потенциально полезной информации. Нуль-сессии можно отключить, внеся изменения в системный реестр, но большинство организаций так до сих пор и не сделало этого.

Другим средством, наглядно демонстрирующим пользу и опасность нуль-сессий, является winfo.exe Арне Видсторма (www.ntsecurity.nu/ toolbox/). Этот продукт порождает нуль-сессию и выводит информацию о бюджетах пользователей любой машины с ОС Windows NT на стандартное выходное устройство. Помимо пользователей и разделяемых ресурсов он выдает и информацию о доверительных отношениях — сведения, которые всегда могут пригодиться взломщику.

Любопытные дебаты развернулись вокруг вопроса о необходимости переименования бюджета администратора. Это переименование и создание “подставного” бюджета могут сыграть роль отвлекающего маневра и остановить разве что начинающего взломщика. Чтобы наглядно продемонстрировать это, достаточно воспользоваться двумя утилитами user2sid и sid2user, написанными Евгением Рудным (packetstorm.securify.com).

Относительный идентификатор бюджета администратора (Relative ID — RID) всегда имеет значение 500. Поэтому, введя команду user2sid \\<рассматриваемый сервер> administrator и получив в ответ цифру, отличную от 500, вы всегда можете убедиться, что этот бюджет администратора — ложный. Если бюджет администратора переименован, то, чтобы выяснить настоящий бюджет, в качестве отправной точки воспользуйтесь гостевым бюджетом (RID = 501). Сначала введите команду user2sid и получите полный системный идентификатор (System ID — SID), а затем — команду sid2user с относительным идентификатором администратора (500), и бюджет последнего будет преподнесен вам на блюдечке. Можно сделать это еще проще: запустив команду winfo <рассматриваемый IP-адрес> —n, вы получите стандартный отчет со специально помеченным бюджетом администратора.

Кто же устоит перед грубой силой?

Ну и наконец, в какой же статье о хакерском инструментарии не затрагивается тема взлома паролей. Среди многочисленных подобных средств признанным фаворитом здесь давно является программа Crack Алека Маффета, но с некоторых пор я стал использовать в основном две другие программы. Это L0phtcrack для ОС Windows NT (www.l0pht.com) и John the Ripper для Unix и Windows NT (www.openwall.com/john/).

Традиционные программные средства, такие, как Crack, при взломе применяют файлы словарей и наборы правил. Это достаточно эффективный подход, но совсем недавно снижение стоимости и повышение мощности вычислительных средств привели к тому, что метод “грубой силы” — отгадывание пароля, перебрав все возможные комбинации, — стали считать более практичным. Предположим, что пароль содержит буквы от A до Z и цифры от 0 до 9, тогда машина с процессором Pentium II полностью “вскроет” украденный файл БД SAM за день или за меньшее время. Если же пароль содержит дополнительные символы, такие, как @, # или $, то “вскрытие” займет не более недели. Если вы не отключили еще поддержку хэш-массива LAN Manager на ваших машинах с Windows NT, то зарубите себе на носу: сегодня взлом паролей БД SAM — пустяковое дело.

Программа L0phtcrack действует одновременно в двух направлениях: взламывает пароли ОС Windows NT, инициируя атаку с использованием файла-словаря, и применяет метод “грубой силы”. L0phtcrack также способна перехватить хэшированный пароль непосредственно в физическом канале — эта опасность подстерегает каждого, кто работает в некоммутируемой среде. Программа John the Ripper отличается от других программ тем, что взламывает не только БД SAM, но и файлы паролей ОС Unix. Благодаря своей гибкости это просто идеальное средство для создания специализированных “машин взлома”, занимающихся исключительно подбором паролей ОС Unix и Windows NT.

Используйте в паролях дополнительные символы

Отвечающие за сетевую безопасность менеджеры должны знать, что пароли, в которых содержатся только буквы от A до Z и цифры от 0 до 9, недостаточно надежны. Одних только паролей стало уже вообще недостаточно, но если укрепление вашей сети вы намерены начать с этого звена, традиционно считающегося самым слабым в системе защиты, то для начала было бы неплохо “усилить” его путем введения в вашей компании требования использовать в паролях дополнительные символы. А с помощью таких средств, как John the Ripper и L0phtcrack, вы быстро отучите ваших пользователей придумывать пароли “на скорую руку”. Имея в распоряжении эти средства, вы сможете также подвергнуть дополнительной проверке задействованные у вас механизмы автоматической генерации паролей.





  
10 '2000
СОДЕРЖАНИЕ

колонка редактора

• Борьба за мобильный кошелек

локальные сети

• Linux на рабочем столе

• Серверы печати делают недорогие принтеры сетевыми

• Ограничим использование дискового пространства

• Домашняя кабельная проводка нового тысячелетия

услуги сетей связи

• SDH: от восхода до заката

• Современная техника и технология для бестраншейной прокладки кабельных сетей

• Как с толком потратить деньги на FRAD

• Проблемы внедрения системы спутниковой связи в ТфОП

новые продукты

• Mercury 3600 многофункционален, компактен и недорог; Функциональность и удобство: два в одном; HP SureStore AutoBackup защитит ваши данные

корпоративные сети

• Конкурс проектов сети устройств памяти

• Увидеть слона целиком. Часть I

защита данных

• Источники бесперебойного питания. Что нового?

• Оружие компьютерного подполья

системы учрежденческой связи

• УАТС и IP - уже вместе

только на сервере

• Найдется ли место для ASP в вашем бизнесе?

• Поддержка коллективных работ в Office 2000

• Alpine: широкоплосный доступ для городских сетей

• EtheRx Router - маршрутизатор для малых офисов


• КАЛЕЙДОСКОП



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх