Срочная компьютерная помощь
  ua   ru
Ремонт компьютеровРемонт ноутбуковВосстановление информацииКомпьютерная помощьКонтактная информация
Ремонт принтеровРемонт сканеровРемонт мониторовРемонт техникиСети Wi-Fi


  Поиск по сайту:
Главное меню

Бесплатная консультация




Акции




Вызов специалиста онлайн



Статьи и обзоры

3.1. Что движет хакерами

    Наш экскурс в мир безопасности будет далеко не полным, если мы не упомянем охакерах и методах их работы.

   Прежде чем мы попытаемся продвинуться вглубь и понять, что же такое хакинг вшироком смысле этого слова, необходимо сказать, что в контексте данной книги термин"хакер" будет использован лишь в исключительных случаях, а именно  далеко за рамки обыденного понимания.

    Это не тот, кто форматирует диски на удаленном ПК, и не тот, кто, получив доступ,крушит и ломает, чтобы самоутвердиться. И тем более не тот, кого покажут в сводке "ихразыскивает милиция".

    Кто же этот человек? Вероятно, тот, кто совершает "это" не ради своих корыстныхинтересов, а чтобы отточить мастерство, родственное искусству. Все остальное – этобанальный взлом.

    Итак, согласно статистике, хакерами чаще всего становятся, как правило, одинокие,образованные и технически грамотные мужчины в возе этого слова – сродни кибербогу; человек, чьи знания и возможности в сфереинформационной безопасности выходят расте от 16 до 35 лет.

    Это всего лишь статистика. Не исключено, что и среди лиц женскогопола есть хакеры. Более того, вундеркинды 13 лет, ломающие серверы Пентагона, – это нетакая уж и фантастика. Однако же в дальнейшем будем считаться с вышеприведенной статистикой.

    Как правило, хакеры – это люди, обладающие глубокими знаниями в области сетевыхтехнологий и средств защиты, в совершенстве знающие UNIX-подобные системы (иWindows, разумеется, тоже), пару языков программирования (к примеру, С++, Perl и PHP),хорошо разбирающиеся в веб-технологиях/программировании (MySQL, JavaScript) и, самоеглавное, обладающие нетривиальными способами мышления. От последнего, между прочим,может зависеть почти все!

    Какие мотивы движут взломщиками? Зачем они делают это и какова их цель?Попытаемся разобраться.

    ПРИМЕЧАНИЕ

    Забегая вперед, необходимо сказать, что большинство современных взломовносят финансовый характер.Алчность была, есть и остается одним из самых сильных мотивов для преступнойдеятельности. Компьютерные преступления ради финансовой наживы носят стихийный характер. Надо ли далеко ходить за примерами? Пожалуй, нет.

    Вспомним кардинг – мошенничество, суть которого заключается в краже номеровкредитных карт. Инструментом кардинга может быть фишинг – данный видкиберпреступления заключается в заманивании пользователей на подставной сайт(например, банковский). Еще один пример компьютерных преступлений ради финансовойнаживы – взломщик засылает на предполагаемый компьютер жертвы троянского коня,который шифрует все содержимое диска! Вскоре кибермошенник связывается с жертвой ипредлагает за определенную плату расшифровать содержимое. Чем не заработок?

    Ну и напоследок реальный пример из жизни.

    "Некий Datastream Cowboy вместе с хакером Kuji взломал систему Центраавиационных разработок базы ВВС Гриффиз (Griffis) в Риме и Нью-Йорке и укралпрограммное обеспечение на сумму свыше двухсот тысяч долларов. Хакером DatastreamCowboy оказался 16-летний подросток из Великобритании, он был арестован и осужден в1997 году. Ему постановили уплатить штраф размером $1915" (из сводок новостей).

     Одной из сильнейших мотиваций взломщика является желание "сделать это" первым,чтобы об этом услышали и "оценили по достоинству". Как правило, такая мотивация, то естьпривлечение внимания, сопряжена с желанием взломщика таким образом самоутвердиться.Такой тип поведения в большей мере характерен для подростков или для взрослых людей,самоутверждающихся "здесь", потому что не вышло "там". Хотя, если рассуждать сфилософской точки зрения, понятие "там" может иметь первоочередной смысл только"здесь"! Результаты таких взломов активно афишируются и документируются (вплоть досоздания "демонстрационного подпольного видео").

    В качестве яркого примера приведем следующий текст, вместе с которым на сайте, гдеон размещен, к слову будет сказано, прилагается и эксклюзивное видео:

    «Привет всем, я ***. Сейчас я покажу вам, как был похекан сайт ***. Все началось сподбора папок на сервере… Подбирали и нашли папкуphpmyadmin… Ну самым банальнымбыл подбор логина и пароля… Логин: root Password. Нашли таблицу от сайта и юзеров)… Увсех резидентов пароли стоят 123123 +)) А вот у админа небрученный пароль… Хм,несложно догадаться, что его можно сменить через наш пхпмайадмин… Идем смотретьхэш пароля password. Сменили пароленг админу… Панель управления битрикс… Удачно!Заливаем шелл в любую папку, где есть права на запись (в нашем случае таких папок уйма).Готово… Шелл получен =)».

    Следующей типичной мотивацией взломщика по праву можно считать вандализм. Акак же без него? Порезвиться-то хочется! Что же при этом движет взломщиком и какойкатегории взломщиков присуща эта мотивация в первую очередь? Однозначно ответить наэтот вопрос было бы слишком просто.

    ПРИМЕЧАНИЕ

    Последнее время все чаще наблюдается еще одна форма мотивации – такназываемый "хактивизм" (hactivism), или хакинг во имя общественного блага.Хактивизм, как правило, носит политический характер и достаточно часто служитповодом для оправдания преступления. Более подробную информацию охактивизме можно найти на сайте http://hacktivismo.com/.

    Итог: они делают это ради удовольствия, они делают это ради денег, они делают этодля самоутверждения, они делают это просто так.

    3.2. Взлом: некоторые примеры

    Можно ли говорить о защите в отрыве от методов взлома? Нет, скажут многие изчитателей и, несомненно, будут правы.

    Чтобы постичь суть или хотя бы понять, "как они делают это", рассмотрим следующиевопросы:

♦ какие из уязвимостей вашей системы могут стать воротами для вторжения извне;

♦ какие механизмы взлома используются хакерами чаще всего и как им противостоять.

   Дабы не утомлять читателя классификациями, я постараюсь изложить суть, а именно:мы рассмотрим наиболее вероятные варианты взлома и частично (более подробномеханизмы защиты рассмотрены в последующих главах) защиты – "два в одном".

    ПРИМЕЧАНИЕ

    В дальнейшем условимся, что у нашего виртуального пользователяустановлена операционная система семейства Windows.

    Итак, пожалуй, начнем. Вас решили взломать.

    Потенциально уязвимыми местами вашей системы могут стать:

♦ необновленная, изобилующая многочисленными уязвимостями Windows иприкладное ПО:

• уязвимости служб и сервисов операционной системы (к примеру, уязвимость вслужбе LSASS, ответственной за авторизацию, управление учетными записями и пр.; илислужбе файлового сервера);

• уязвимости приложений, интегрированных в систему (к примеру, Internet Explorer,Outloook Express и т. д.);

• уязвимости прикладного ПО сторонних разработчиков ("Антивирус Касперского",OutPost Firewall и т. д.);

♦ настройки системы по умолчанию (к примеру, открытые для общего доступа дискиC:, D:);

♦ человеческий фактор:

• пустые (как уже было упомянуто выше, достаточно часто пользователи оставляютучетную запись администратора с пустым паролем) или слабые (qwerty, 123, admin, 1987 и т.д.) пароли на вход в систему;• ошибки администрирования (как пример – открытые порты).

    ПРИМЕЧАНИЕ

    У некоторых из читателей может возникнуть вопрос относительно того, чтоже такое есть порт. Фактически, порт – это приложение или служба, которая ждет,чтобы установить соединение извне (рис. 3.1).

Рис. 3.1.Команда netstat-an позволяет просмотреть ваши открытые порты

Рис. 3.1.Команда netstat-an позволяет просмотреть ваши открытые порты

    Следует отметить, что вышеперечисленные уязвимые места – далеко не полныйсписок, а всего лишь наиболее распространенные варианты.Какие механизмы взлома используются хакерами чаще всего?

     Рассмотрим некоторые из них.

    ♦ Компрометация системы с использованием эксплоитов.Пример: популярный в свое время KaHt2, который эксплуатирует уязвимость службыRPC (Remote Procedure Call – удаленный вызов процедур), позволяя удаленномупользователю получить доступ к компьютеру жертвы, посредством организации некоегоподобия telnet-сеанса (рис. 3.2).

Рис. 3.2.Эксплоит Kaht2 в действии

Рис. 3.2.Эксплоит Kaht2 в действии

    ♦ Взлом с использованием специализированного ПО:

    • троянские кони (как пример – под картинкой новой знакомой может оказаться самыйнастоящий троянский конь – достаточно лишь открыть прикрепленный к электронномуписьму файл);

    • черви (чтобы подцепить червя, вовсе не обязательно что-либо открывать – еслисистема не залатана, червь сам вас найдет; например, MS Blast, используя уязвимость вслужбе DCOM RPC, инфицирует систему, что вызывает перезагрузку компьютера).

    ♦ Подбор паролей (как правило, осуществляется при помощи специализированного ПО.

При этом перебор может вестись как по словарю, так путем "брут-форса" – перебором"грубой силой", то есть всеми сочетаниями символов). В качестве примера такогоспециализированного ПО достаточно привести утилиту Cain & Abel, возможности которойдалеко не ограничиваются одним лишь перебором паролей (рис. 3.3).

Рис. 3.3.Утилита Cain & Abel в действии

Рис. 3.3.Утилита Cain & Abel в действии

    Рассмотрим вариант, когда у взломщика есть физический доступ к компьютеру. Егоцель – получить доступ в систему и скопировать ваш (будем предполагать) секретныйдокумент. Для этого ему понадобится выполнить следующее.

1. Загрузиться с CD или USB-носителя.

2. Скопировать в другой среде (им загруженной) себе этот документ. Как он будетдействовать? Вероятно, следующим образом.

1. Снимет пароль на BIOS (если он установлен, разумеется), чтобы произвестинастройку на загрузку с носителя:

1) вытащив батарейку;

2) воспользовавшись соответствующей BIOS-перемычкой;

3) замкнув контакты на микросхеме.

    ПРИМЕЧАНИЕ

    В некоторых материнских платах раннего производства имеласьвозможность "сброса" BIOS-пароля посредством ввода так называемогозаводского. Например, для микросхем производства AWARD пароль мог бытьAWARD.

    2. Загрузится с Live CD (как пример) и скопирует секретный документ (вполневозможно, что документ будет зашифрован встроенными средствами операционной системы,но это вряд ли остановит нашего взломщика, так как в настоящее время для большинстваалгоритмов шифрования существуют парольные взломщики).

    Возможные варианты противодействия:

    ♦ настроить BIOS на загрузку только с винчестера;

    ♦ установить пароль на BIOS;

    ♦ опечатать системный блок.

    Другой вариант взлома, когда целью взломщика является установить тотальныйконтроль над системой (чаще всего конечной целью такого контроля является получениепаролей).

    Как он будет действовать? Вероятно, следующим образом.

    1. Повысит свои привилегии в системе путем взлома учетной записи с правамиадминистратора:

    1) используя пустой пароль для учетной записи Администратор;

    2) подсмотрев пароль;

    3) применив специальное программное обеспечение вроде PWSEX; несмотря на весьмастранное название, данная утилита позволяет восстановить большинство паролей всего занесколько секунд (рис. 3.4);

Рис. 3.4.Proactive Windows Security Explorer в действии

Рис. 3.4.Proactive Windows Security Explorer в действии

    ПРИМЕЧАНИЕ

    Стоит обратить особое внимание читателя на то, что утилиты вродеописанной для своей работы уже требуют прав администратора. "Так в чем жетогда суть взлома?" – спросят многие из читателей. А в том, что взломщикомможет оказаться доверенное лицо, просто на пять минут получившее доступ всистему с учетной записью администратора, но, разумеется, не знающее пароль.

    4) использовав специальное ПО для повышения локальных привилегий в системе.

    2. Установит троянского коня (наиболее широкое понятие шпионского ПО), бэкдор(утилита удаленного администрирования) или клавиатурного шпиона (программа,перехватывающая ввод данных с клавиатуры).

    Возможные варианты противодействия:

    ♦ регулярное обновление системы (заплатки всегда доступны на официальном сайтеMicrosoft);

    ♦ повседневная работа в системе с правами пользователя;

    ♦ установка (если не установлено) пароля на учетную запись Администратор;

    ♦ использование стойких паролей (не менее восьми символов из букв, цифр испециальных символов);

    ♦ удаление из системы неиспользуемых учетных записей, таких, например, какHelpAssistant и NetShowServices (Пуск ► Панель управления ► Администрирование ►Управление компьютером ► Локальные пользователи и группы ► Пользователи);

    ♦ ревизия локальных политик безопасности (в том числе контроль ветвей реестра,ответственных за автозагрузку);

    ♦ включение DEP (выполнение команды Мой компьютер ► Свойства ►Дополнительно ► Быстродействие ► Параметры ► Предотвращение выполненияданных);

    ♦ использование хорошей антивирусной программы с новыми базами.

    Теперь рассмотрим третий вариант вторжения– вторжение из сети. Как будетдействовать взломщик в подобном случае и какие инструменты взлома попытаетсяприменить? Варианты следующие.

    1. Установит в систему троянского коня следующим образом.

    1) Отправив вам на электронный ящик (или через ICQ) письмо с прикрепленнымфайлом – картинкой, – замаскированным троянским конем.

    2) Все через ту же электронную почту (или другим способом, например на форуме)скомпрометирует пользователя перейти по некоторой ссылке, ведущей на сфабрикованнуюподставную страницу, содержащую злонамеренный JavaScript-код. В результате черезуязвимости браузера троянский конь "зальется" в систему.

    2. Получит удаленный доступ, использовав специальное ПО для повышенияпривилегий в системе.

    ПРИМЕЧАНИЕ

    В обоих перечисленных случаях вторжения через сеть для последующегоконтроля системы-жертвы взломщику понадобится как минимум знать ее IP-адрес.В случае подключения к Интернету с использованием динамических IP(выдаваемый пользователю каждый раз новый IP) взломщик должен будет узнать(как правило) ваш IP на текущий момент подключения. Как? Просто. В моментподключения к Интернету троянский конь отправляет на электронный почтовыйящик взломщика письмо, содержащее ваш IP.

    3. Проникнет в систему, используя бреши в настройках безопасности (например,подключение через telnet).

    Варианты возможной защиты:

    ♦ опять же, работа в системе без прав администратора;

    ♦ последняя версия антивирусной программы (подробно вопрос выбора антивирусарассмотрен в гл. 4) со свежими базами;

    ♦ установка хорошего межсетевого экрана (для нужд домашнего ПК можнорекомендовать Zone Alarm);

    ♦ ревизия политик безопасности (отключение общедоступных дисков C$,D$,неиспользуемых сервисов и т. д.).

    Вышеперечисленные возможные варианты атак ни в коем случае не претендуют наисчерпывающее руководство, а приведены лишь как примеры, отражающие суть.

    Следует отметить, что предварительным этапом практически любой атаки являетсясканирование портов. Сканирование портов проводится, чтобы узнать, какие из служб илисетевых сервисов установлены в системе и могут быть использованы для атаки.

    Как пример – уже упоминавшийся в первой главе XSpider – отечественный сетевойсканер безопасности, который на сегодняшний день можно считать лучшим в своем классе.Резонно заметить, что отчет о сканировании XSpider включает в себя не только списокоткрытых портов, но и подробное описание того, как устранить ту или иную обнаруженнуюбрешь.

    Приведенные выше возможные варианты реализуемы в большей своей части нарабочем ПК простого пользователя и подразумевают взлом, в случае если:

    ♦ есть физический доступ к машине;

    ♦ машина пользователя доступна по локальной сети (для получения более подробнойинформации про варианты взлома и защиты в локальной сети см. гл. 6).

    А как будет действовать взломщик и какие инструменты применит, если его цельюокажется веб-сервер? Ответ на этот вопрос можно было без труда найти в разд. 1.4 гл. 1,однако же будет совсем не лишним привести общую схему действий взломщика в подобнойситуации.

    Сценарий действий взломщика в подобном случае может быть разбит по пунктам.

    1. Сбор общей информации:

    • версия операционной системы, установленной на сервере (UNIX-подобная, Windows2003 и др.);

    • версия HTTP-сервера (Apache, IIS);

    • версия и особенности удаленного интерфейса управления сайтом, базами данных(bitrix, phpmyadmin);

    • изучение структуры сайта (включает перебор доступных папок, например test; на чемнаписан и какие элементы использованы: HTML, PHP, Java Script, MySQL, Perl).

    ПРИМЕЧАНИЕ

    Сбор информации может вестись различными путями: возможны варианты сиспользованием специализированных сканеров безопасности или же "вручную".

    2. Непосредственно взлом (используя XSS, SQL-Injection или другой из способов; болееподробно варианты описаны в разд. 1.4 гл. 1).

    3. Создание "потайного хода", через который впоследствии можно будет получитьдоступ к сайту даже при условии смены текущих паролей (одним из вариантов такогопотайного хода является так называемая "заливка шелла", подразумевающая закачку на сайтсценария, который дает возможность выполнения произвольных команд).

    4. Заметание следов (как правило, заключается в удалении записей из журналовбезопасности).

    3.3. УК, или Чем может закончиться «детская игра»

   Уголовный кодекс Украины. Раздел XVI. Преступления в сфере использованияэлектронно-вычислительных машин (компьютеров), систем и компьютерныхсетей

Статья 361. Незаконное вмешательство в работу электронно-вычислительныхмашин (компьютеров), систем и компьютерных сетей.

    1. Незаконное вмешательство в работу автоматизированныхэлектронно-вычислительных машин, их систем или компьютерных сетей, которое привело кискажению или уничтожению компьютерной информации или носителей такой информации,а также распространение компьютерного вируса путем применения программных итехнических средств, предназначенных для незаконного проникновения в эти машины,системы или компьютерные сети и способных повлечь за собой искажение или уничтожениекомпьютерной информации или носителей такой информации, – наказываются штрафом досемидесяти необлагаемых налогом минимумов доходов граждан или исправительнымиработами на срок до двух лет, или ограничением свободы на такой же срок.

    2. Те же действия, если они причинили существенный вред или совершены повторноили по предварительному сговору группой лиц, – наказываются ограничением свободы насрок до пяти лет или лишением свободы на срок от трех до пяти лет.

    Статья 362. Похищение, присвоение, вымогательство компьютерной информацииили завладение ею путем мошенничества или злоупотребления служебнымположением.

    1. Похищение, присвоение, вымогательство компьютерной информации или завладениеею путем мошенничества или злоупотребления служебным лицом своим служебнымположением, – наказываются штрафом от пятидесяти до двухсот необлагаемых налогомминимумов доходов граждан или исправительными работами на срок до двух лет.

    2. Те же действия, совершенные повторно или по предыдущему сговору группой лиц, –наказываются штрафом от ста до четырехсот необлагаемых налогом минимумов доходовграждан или ограничением свободы на срок до трех лет, или лишением свободы на тот жесрок.

    3. Действия, предусмотренные частями первой или второй этой статьи, если онипричинили существенный вред, – наказываются лишением свободы на срок от двух до пятилет

    Статья 363. Нарушение правил эксплуатации автоматизированныхэлектронно-вычислительных систем.

    1. Нарушение правил эксплуатации автоматизированных электронно-вычислительныхмашин, их систем или компьютерных сетей лицом, отвечающим за их эксплуатацию, еслиэто повлекло за собой похищение, искажение или уничтожение компьютерной информации,средств ее защиты, или незаконное копирование компьютерной информации, илисущественное нарушение работы таких машин, их систем или компьютерных сетей, –наказывается штрафом до пятидесяти необлагаемых налогом минимумов доходов гражданили лишением права занимать определенные должности или заниматься определеннойдеятельностью на срок до пяти лет, или исправительными работами на срок до двух лет.

    2. То же самое деяние, если оно причинило существенный вред, – карается штрафом доста необлагаемых налогом минимумов доходов граждан или исправительными работами насрок до двух лет, или ограничением свободы на срок до пяти лет, с лишением права заниматьопределенные должности или заниматься определенной деятельностью на срок до трех летили без такового.

    После всего, что было отмечено выше, стоит отметить, что законодательство нашейстраны, а также наших соседей по СНГ достаточно лояльно относится к нарушениямподобного рода. Так, к примеру, законодательством КНР предусмотрено пожизненноезаключение и даже смертная казнь за некоторые из видов хищения конфиденциальнойинформации посредством информационных технологий.


    Выезд компьютерного мастера в районы: Троещина, Оболонь, Позняки, Теремки, Борщаговка, Шулявка, Дарница, Соломенка, Осокорки, Лесной, Березняки, Подол, Виноградар, Демеевка, Русановка, Лукьяновка, Татарка, Академгородок, Святошино, ДВРЗ, Гончарка, Голосеево, Академгородок, Беличи, Корчеватое, Китаево, Жуляны, Борисполь, Бровары, Вышневе




Ссылки