Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей

Подождите немного. Документ загружается.

Взлом Napster с помощью

программы Wrapster

Хотя авторы и не считают, что приложения Napster и Wrapster в настоящее

время представляют большую угрозу для безопасности, они полагают, что

оба программных продукта в значительной мере обладают отличительными

особенностями программ, имеющих отношение к

хакингу.

Именно поэтому о

них следует упомянуть в данной книге. Все пользователи с нетерпением ожи-

дают того дня, когда программа Napster станет достаточно удобной и предос-

тавит богатый выбор любимой музыки.

Еще один пример программного продукта, по вине которого могут возникнуть

проблемы нарушения безопасности, вызванные сочетанием его мощи и популярно-

сти, —

революционное

изобретение для сетевого обмена файлами компании Napster

(http:

//www.napster.com).

Пакет Napster представляет собой разновидность типич-

ного средства обмена файлами на платформе клиент/сервер. При этом сервер функ-

ционирует в качестве централизованного индексного указателя аудиофайлов в форма-

те МРЗ, которые хранятся на жестких дисках всех пользователей, подсоединившихся

к сети с помощью клиентской программы Napster. В индексном указателе пользовате-

ли могут выполнять поиск

МРЗ-файлов,

которые они хотят загрузить, а сервер соеди-

няет их клиентскую программу непосредственно с тем пользователем, на диске кото-

рого хранятся требуемые файлы. Таким образом, все пользователи, желающие при-

нять участие в обмене, должны выделить какой-то участок своего жесткого диска и

предоставить остальным право чтения/записи.

Чтобы предотвратить возможность распространения опасных программ, компания

Napster пытается устранять из сети файлы, формат которых отличен от МРЗ. Для

этого выполняется проверка бинарных заголовков файлов, предназначенных для ко-

пирования, на их соответствие формату МРЗ. В версиях Napster, выпущенных после

появления бета-версии 6, применяется новый алгоритм проверки, в котором наряду с

заголовком файла проверяется еще и

его

содержимое.

Как и следовало ожидать, та же человеческая изобретательность, благодаря кото-

рой появилась программа Napster, вскоре нашла способ скрытой передачи по сети

файлов в формате, отличном от МРЗ. Программа Wrapster, автором которой является

Октавиан

(Octavian)

(http://download.cnet.com),

скрывает типы файлов, выдавая

их за подлинные файлы МРЗ, "закодированные" с определенной скоростью передачи

битов (32 Кбит/с). Такая маскировка позволяет подобным файлам рассматриваться

сетью Napster как МРЗ. Те, кто хочет увидеть результат работы Wrapster, могут просто

выполнить в сети Napster поиск файлов с указанной выше скоростью передачи битов,

что приведет к обнаружению всех имеющихся файлов Wrapster. Или, если известно,

какими файлами обменивались ваши друзья, можно выполнить поиск по имени и

скорости передачи битов. Теперь у нас есть сеть для обмена популярными музыкаль-

ными файлами и механизм создания программ типа "троянский конь", облаченных в

музыкальный формат. Кто-то из читателей уже увидел причину для беспокойства?

К счастью, для запуска файлов Wrapster требуется, чтобы сначала были извлечены

псевдофайлы МРЗ с

помощью

вспомогательного приложения. Обычный двойной

щелчок на закодированном программой Wrapster файле приведет к тому, что

его

по-

пытается открыть установленная в системе программа проигрывания музыкальных

файлов. При этом он будет признан ложным файлом МРЗ, и загрузить

его

не удастся.

Это избавляет пользователя от необходимости разработки или освоения технологии,

позволяющей определять степень опасности вложенного файла. Стоит еще раз вспом-

Глава 16. Атаки на пользователей Internet 695

нить известную истину: единственным барьером, разделяющим великие вещи

(свободно распространяемую музыку) и программы, неожиданно форматирующих же-

сткие диски, является человеческая этика.

| Появились сведения о том, что различные клоны пакета Napster, распростра-

няющиеся через открытые источники, обладают изъяном. Он позволяет

взломщикам просматривать файлы на том компьютере, на котором

Запущена

уязвимая клиентская программа Napster (в официальных коммерческих вер-

сиях этот изъян отсутствует). См. также статью

1186

в бюллетене

Bugtraq

по

адресу http://www.securityfocus.com/bid/1186/.

Глобальные контрмеры: атаки на

пользователей Internet

В этом разделе приведено описание многих опасных атак на пользователей

Internet. В основном они направлены на то, чтобы обманным путем принудить поль-

зователя запустить вирус, "червь" или другой опасный код. Кроме того, были пред-

ставлены многие частные решения подобных проблем. Теперь пришло время позна-

комиться с общими методами защиты от подобных атак.

О Постоянно обновляйте антивирусные базы

данных

Конечно, такое средство защиты, как антивирусные программы,

существует

и по-

всеместно используется уже давно. Тот, кто не применяет их для обеспечения безо-

пасности своей системы, подвергает себя большому риску. Подобное программное

обеспечение можно приобрести у многих разработчиков. Достаточно полный перечень

таких программ можно найти

на

Web-узле компании Microsoft

http:

//support,

microsoft

.com/support/kb/articl.es/Q4

9/5/00.

ASP. Известные антивирусные

пакеты (такие как Norton

Antivirus

компании Symantec, McAfee, Data Fellows, Trend

Micro,

Inoculan/InoculatelT

компании Computer Associates и др.) соревнуются между

собой, стараясь обеспечить наиболее полную защиту от злонамеренного кода.

Один из основных недостатков антивирусного программного обеспечения заклю-

чается в том, что эти программы не могут обеспечить упреждающую защиту против

новых вирусов, появившихся после их выхода и которые они еще не могут распо-

знать. Разработчики антивирусных программ полагаются на механизмы обновления,

периодически предлагая своим клиентам обновлять антивирусные базы данных, в ко-

торые заносятся сведения о новых обнаруженных вирусах. Таким образом, между по-

явлением новой разновидности вируса и разработкой обновленной базы

дацных

обра-

зуется интервал времени, в течение которого пользователь остается уязвимым.

До тех пор пока пользователь помнит об этом временном зазоре и его антивирус-

ное программное обеспечение настроено для автоматического и

регулярног^э

(хотя бы

раз в неделю) обновления, средства антивирусной защиты обеспечивают

^надежную

линию обороны против большинства из описанных ранее атак. На забывайте о том,

что для получения наиболее полной отдачи нужно пользоваться средствами автомати-

ческой защиты, особенно для автоматического сканирования почтовых сообщений и

гибких дисков. Кроме того, постоянно обновляйте антивирусные базы данных! Боль-

шинство разработчиков предлагают их бесплатное автоматическое обновление в тече-

ние года, однако затем за небольшую плату потребуется продлить подписку. Напри-

мер, в компании Symantec стоимость годовой подписки на службу

LiveUpd&te

состав-

696 Часть IV. Хакинг программного

обеспечения

ляет всего $4. За такую сумму с Web-узла компании

(http://www.symantec.com/

avcenter/download.html)

можно вручную загружать обновления.

Следует помнить также о возможности розыгрыша, который может причинить не

меньше вреда, чем сам вирус. Список подобных известных уловок можно найти по

адресу

http://vmyths.com/hoax.cfm?page=0.

О Защита шлюзов

Надежная стратегия защиты на уровне сети является наиболее эффективным спо-

собом защиты большого количества пользователей. В качестве средства для решения

многих описанных в этой главе проблем, конечно же, следует выбрать брандмауэр.

Особое внимание нужно уделять спискам управления доступом из глобальной сети,

которые могут стать мощной преградой для коварного кода, пытающегося проникнуть

на плохо настроенные внутренние серверы.

Кроме того, имеется множество программных продуктов, осуществляющих скани-

рование входящей электронной почты и трафика Web и выполняющих поиск опас-

ного мобильного кода. Одним из таких примеров является пакет

SurfinGate

компании

Finjan

(http://www.finjan.com),

который можно использовать на границе сети (в

качестве дополнения к существующему брандмауэру или в качестве proxy-сервера) для

проверки всего получаемого извне кода Java, элементов ActiveX, JavaScript, исполняе-

мых файлов, сценариев на Visual Basic и файлов cookie. Затем на основе действий, оп-

ределяемых для каждого модуля кода, программа SurfinGate создает соответствующий

профиль. Далее модули однозначно идентифицируются с помощью хэш-кода MD5,

так что при загрузке каждого модуля требуется лишь одно сканирование. Созданный

профиль сравнивается с политикой безопасности, заданной сетевым администрато-

ром. Затем на основе результатов сравнения программой SurfinGate принимаются

"разрешающие" или "блокирующие" решения. Компания Finjan предоставляет также

версию для личного использования — программу

SurfinGuard,

которая обеспечивает

механизм защиты от необдуманного запуска загруженного кода.

Интересная технология, реализованная компанией Finjan, помогает загруженным и

мало информированным пользователям в решении проблемы защиты от мобильного

кода. Дополнительным преимуществом этого заградительного барьера является его

способность предотвращать атаки с применением средств сжатия исполняемых фай-

лов в формате РЕ (portable executable), которые способны уплотнять

.ЕХЕ-файлы

Win32 и фактически изменять их бинарную подпись. В результате уплотненный ис-

полняемый файл может ввести в заблуждение любой статический механизм вирусной

проверки, поскольку исходный файл .ЕХЕ не извлекается до его запуска (поэтому

традиционная проверка ничего не дает). Конечно же, успех такой стратегии зависит

от принятой политики безопасности и заданных параметров специального программ-

ного обеспечения, которые по-прежнему настраиваются теми же безответственными

людьми, которые повинны во многих описанных в этой главе ошибках.

Резюме

После написания этой главы нам хотелось бы облегченно вздохнуть и снова на не-

сколько лет окунуться в дальнейшие исследования методов хакинга пользователей In-

ternet. На самом деле за рамками книги осталось еще много материала на эту тему.

Описать все разнообразие проверенных и непроверенных атак, применяемых против

обычного клиентского программного обеспечения, оказалось непростым делом. Наря-

ду с десятками остроумных подходов, разработанных такими яркими личностями, как

Георгий

Гунински,

в окончательный вариант книги не попали многие вопросы, ка-

Глава 16. Атаки на пользователей Internet 697

сающиеся взлома Web-серверов, предоставляющих услуги электронной почты

(Hotmail), хакинга пользователей службы AOL, взлома линий связи с модулированной

передачей данных в Internet и получения личных данных клиентов. Конечно, перед

сообществом Internet еще долгие годы будут стоять все эти проблемы, а в будущем

появятся новые, которые пока что даже трудно представить. Ниже приведены некото-

рые

рекомендации,

следуя которым пользователи смогут обеспечить наиболее высо-

кий уровень безопасности, который возможен на сегодняшний день.

Т Постоянно обновляйте клиентское программное обеспечение! Что касается

продуктов компании Microsoft, часто подвергающихся таким атакам, то можно

воспользоваться несколькими возможностями (что позволит использовать вре-

мя более рационально).

• Web-узел Windows Update (WU) (http://www.windowsupdate.com).

• Бюллетени по вопросам безопасности компании Microsoft

(http://www.

microsoft.com/technet/security/current.asp).

• Модули обновления к IE

(http://www.microsoft.com/windows/ie/

download/default.htm#critical).

• Модули обновления продуктов Office (http:

//office.microsoft.com).

• Приобретите и постоянно используйте антивирусное программное обеспече-

ние. Не реже одного раза в неделю обновляйте антивирусные базы данных. Ус-

тановите максимально возможное количество служб автоматического сканиро-

вания (одной из служб, которой следует воспользоваться, является служба ска-

нирования электронной почты).

• Пополняйте запас знаний о таких потенциально опасных технологиях мобиль-

ного кода, как элементы управления ActiveX и Java. Настраивая клиентское

программное

обеспечение Internet, помните о необходимости осторожного об-

ращения с этими мощными инструментами (см. раздел этой главы, посвящен-

ный зонам безопасности Windows). По адресу

http://www.computer.org/-

internet/v2n6/w6gei

.htm

можно найти хорошую обзорную статью по вопро-

сам использования мобильного кода.

• Сохраняйте здоровый скептицизм по отношению к файлам, полученным из

Internet, будь то вложения электронной почты или файлы, предложенные для

загрузки по каналам DCC или

IRC.

Если надежность источника вызывает хоть

малейшие подозрения, такие файлы следует тут же отправлять в мусорную кор-

зину. (Не забывайте также о том, что коварные

программы-"черви",

например

ILOVEYOU, могут маскироваться и попасть к пользователю от имени его хо-

рошего знакомого, почтовая клиентская программа которого была взломана.)

А Постоянно обновляйте набор инструментов, и будьте в курсе появляющихся

новых технологий хакинга в Internet. Заглядывайте на перечисленные ниже

Web-узлы экспертов в области безопасности, которые первыми выявляют изъя-

ны программного обеспечения.

• Web-узел Георгия

Гунински

(http:

//www.guninski.com/index.html).

• Web-узел лаборатории Secure Internet Programming (SIP) Принстонского

университета(http://www.es.princeton.edu/sip/history/index.php3).

• Web-узел Хуана Карлоса Гарсия

Квартанго

(Juan Carlos Garcia

Cuartango)

(http://www.kriptopolis.com).

698 Часть IV. Хакинг программного обеспечения

оскольку самая большая сложность при любой оценке

безопасности

заключа-

ется в выяснении списка программного обеспечения, установленного в сети,

наличие точного перечня портов и использующих их служб

может

быть од-

ним из важнейших условий полной идентификации всех уязвимых мест. Для скани-

рования всех 131070 портов (от 1 до 65535 для TCP и

UDP)

на всех узлах

мо^кет

пона-

добиться много дней и даже недель. Поэтому лучше обратиться к более коротким

спискам портов и служб, чтобы определить в первую очередь наличие самых опасных

уязвимых мест.

Приведенный ниже перечень ни в коей мере не претендует на универсальность и

полноту. Кроме того, некоторые из перечисленных приложений можно настроить на

использование совсем других портов. Однако мы надеемся, что он все

же'послужит

для вас хорошей отправной точкой в обнаружении опасных приложений. Порты, при-

веденные в этой таблице, очень часто служат для сбора информации или Получения

доступа к компьютерным системам. Более полный список портов

(помните;,

что пол-

ный и точный — это несколько разные понятия), можно найти по адресу

http://

www.iana.org/assignments/port-numbers.

Служба или приложение

echo

systat

chargen

ftp-data

ssh

telnet

SMTP

nameserver

whois

tacacs

xns-time

dns-lookup

dns-zone

whois++

bootps

oracle-sqlnet

tftp

gopher

finger

http

Альтернативный порт Web (http)

kerberos или альтернативный порт Web (http)

pop2

Порт/Протокол

7/tcp

11/tcp

19/tcp

21/tcp

22/tcp

23/tcp

25Дср

42/tcp !

43/tcp

49/udp

52/tcp

52/udp

53/udp

53/tcp

63/tcp/udp

67/tcp/udp !

68/tcp/udp

66/tcp

69/udp

70/tcp/udp

79/tcp

80/tcp

81/tcp

88/tcp

109/tcp

702

Часть V. Приложения

Служба или приложение

рорЗ

sunrpc

sqlserv

nntp

ntp

ntrpc-or-dce

(epmap)

netbios-ns

netbios-dgm

netbios

imap

snmp

snmp-trap

xdmcp

bgp

snmp-checkpoint

Idap

netware-ip

timbuktu

https/ssl

ms-smb-alternate

ipsec-internet-key-exchange (ike)

exec

rlogin

rwho

rshell

syslog

printer

talk

ntalk

route

netware-

ncp

irc-serv

uucp

klogin

mount

remotelypossible

Порт/Протокол

110/tcp

111/tcp

118/tcp

119/tcp

123/tcp/udp

135/tcp/udp

137/tcp/udp

138/tcp/udp

139/tcp

143/tcp

161/udp

162/udp

177/tep/udp

179/tcp

256/tcp

389/tcp

396/tcp

407/tcp

443/tcp

445/tcp/udp

500/udp

512/tcp

513/tcp

513/udp

514/tcp

514/udp

515/tcp

515/udp

517/tcp/udp

518/tcp/udp

520/udp

524/tcp

529/tcp/udp

540/tcp/udp

543/tcp/udp

645/udp

799/tcp

Приложение А. Порты

703

Служба или приложение

rsync

samba-swat

Службы w2k rpc

socks

kpop

bmc-patrol-db

note's

timbuktu-sn/1

ms-sql

citrix

sybase-sql-anywhere

funkproxy

Ingres-lock

oracle-srv

oracle-tli

pptp

winsock-proxy

radius

remotely-anywhere

cisco-mgmt

nfs

compaq-web

Sybase

openview

realsecure

nessusd

ccmail

ms-active-dir-global-catalog

bmc-patrol-agent

mysql

ssql

ms-termserv

cisco-mgmt

nfs-lockd

rwhois

postgress

secured

Порт/Протокол

873/tcp

901

/top

1024-1030/tcp

1024-1030/udp

1080/tcp

1109/tcp

1313/tcp

1352/tcp

1417-1420/tcp/udp

1433/tcp

1494/tcp

1498/tcp

1505/tcp/udp

1524/tcp

1525/tcp

1527/tcp

1723/tcp

1745/tcp

1812/udp

2000/tcp

2001

/tcp

2049/tcp

2301/tcp

2368

2447/tcp

2998/tcp

3001/tcp

3264/tcp/udp

3268/tcp/udp

3300/tcp

3306/tcp

3351

/tcp

3389/tcp

4001

/tcp

4045/tcp

4321/tcp/udp

5432/tcp

5500/udp

704

Часть V. Приложения

Служба или приложение

pcanywhere

vnc

vnc-java

xwindows

cisco-mgmt

arcserve

ape

ire

font-service

web

blackice-icecap

cisco-xremote

jetdirect

dragon-ids

Агент системного сканирования iss

Консоль системного сканирования iss

stel

netbus

trinoo_bcast

trinoo_master

quake

backorifice

rpc-solaris

snmp-solaris

reachout

bo2k

netprowler-manager

pcanywhere-def

Порт/Протокол

5631/tcp

5800/tcp

5900/tcp

6000/tcp

6001/tcp

6050/tcp

6549/tcp

6667/tcp

7100/tcp/udp

8000/tcp

8001/tcp

8002/tcp

8080/tcp

8081/tcp

9001

/tcp

9100/tcp

9111/tcp

9991

/tcp

9992/tcp

10005/tcp

12345/tcp

27444/tcp

27665/tcp

27960/udp

31337/udp

32771/tcp

32780/udp

43188/tcp

54320/tcp

54321/udp

61440/tcp

65301/tcp

Приложение А. Порты

705

Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения

Подождите немного. Документ загружается.