Вторжение

Собрав нужную информацию, в состав которой входит структура атакуемой информационной системы, адреса серверов локальной сети организации, используемые операционные системы и средства защиты, хакер приступает к вторжению. Излюбленный средствами массовой информации и Голливудом сюжет опусов на тему хакинга - взлом через Интернет компьютерной системы на другом конце земного шара - это отнюдь не единственный метод доступа к закрытой информации, хотя и самый эффектный и привлекательный для зрителя. Если хакер - это настоящий, решительно настроенный охотник за закрытой информацией, для достижения цели он использует тот метод, который наиболее эффективен для решения задачи. Все зависит от обстоятельств, и если у хакера есть возможность физического доступа к компьютеру, он им воспользуется, поскольку наиболее мощные средства взлома системы защиты предполагают локальный доступ к компьютерной системе.

Ниже приведена классификация методов вторжения по способам доступа хакера к атакуемому компьютеру, поскольку от этого в значительной степени зависят возможности хакера по применению инструментов взлома защиты.

• Локальное вторжение.

Этот метод состоит во взломе компьютерной системы с управляющей консоли компьютера. Наиболее доступен такой метод для служащих самой организации,, которые имеют доступ к компьютерной системе, знают местонахождение информационных ресурсов и способны производить с системой различные манипуляции скрытно от окружающих. Типичный пример описан в разделе «Кража финансов» выше, где сотрудник финансовой организации имел привилегии, достаточные для хакерской модификации компьютерной системы. Кстати, это очень симптоматично - именно системные администраторы, имея самый высокий уровень привилегий, часто становятся источником проблем для системы безопасности [2]. Однако и простые смертные имеют определенные шансы на успех в этой области, особенно учитывая хаос, царящий во многих корпоративных сетях. Допустим, вы ушли на перекур, бросив компьютер на произвол судьбы (согласитесь, очень распространенное нарушение политики безопасности), а после вашего возвращения оказывается, что жесткий диск отформатирован, или на компьютере запущена программа клавиатурного шпиона. Это - типичный пример локального вторжения, когда хакеру удалось получить физический доступ к компьютеру. Во второй части этой книги мы подробно описываем множество инструментов и приемов, которые может применить хакер для вторжения в компьютер при наличии локального доступа.

• Вторжение из Интернета.

Вторжения из Интернета грозят всем, кто когда-либо подсоединялся к серверу Интернета и работал с различными Интернет-сервисами, например, электронной почтой, серверами новостей и Web-ресурсов. При наличии дыр в системе защиты хакеры в состоянии подсоединяться к компьютеру пользователя и, в зависимости от полученных привилегий, решать самые разнообразные задачи, вплоть до установления полного контроля над компьютером жертвы. Причем в последнее время, в связи с распространением (по крайней мере, на Западе) домашних компьютеров, постоянно подсоединенных к Интернету, эти компьютеры стали активно использоваться хакерами для выполнения наиболее опасных атак DDoS (Distributed Denial of Services - Распределенный отказ от обслуживания). Мы опишем атаки DoS подробнее в Главе 13 этой книги.

Другой тип атак через Интернет - рассылка вирусов. Допустим, к вам приходит письмо с вложением, предлагающее вам обновить свой Web-браузер. Вы щелкаете на ссылке, и ваша компьютерная система на ваших глазах умирает (или становится рабом какого-нибудь «кул хацкера», обеспечивая его паролями для халявного доступа к серверу провайдера Интернета или другому платному ресурсу Web). Имеются и более изощренные атаки, когда для размещения на компьютере хакерской программы не требуется даже и щелчка мышью - используя некоторые недостатки почтового клиента, можно составить такое электронное письмо, что прикрепленное к нему вложение автоматически перекочует в папку автозагрузки компьютера и исполнится при следующем перезапуске. А как составляются такие письма и осуществляются некоторые другие атаки на почтовые сервисы, описано в Главах 9 и 10 этой книги.

С вами может случиться и такое - в один прекрасный день вы обращаетесь к своему Web-сайту, и вместо знакомого содержимого обнаруживаете там «изделие» какого-то «Web-мастера» с компрометирующим вас содержимым. Значит, кому-то удалась атака на Web-сервер - подробности о таких атаках можно узнать в Главе 12. Рассылка вирусов, социальная инженерия и прочие шалости - список может быть пополнен, и на фоне их упомянутые в разделе «Вандализм» 19 способов навредить своему сетевому другу - это просто мелкие шалости. Подробнее все эти вопросы описаны в частях 3 и 4 этой книги.

Наиболее сложным и квалифицированным вторжением в компьютерную систему через Интернет следует считать удаленный взлом системы защиты корпоративной сети, подсоединенной к Интернету. Решение такой задачи требует тщательной подготовки и изучения атакуемой системы, и в Главе 14 этой книги мы опишем некоторые технологии удаленного взлома сети TCP/IP компьютеров Windows 2000/XP.

• Вторжение из локальной сети.

Допустим, у себя на работе вы используете локальную сеть организации для общения со своим сетевым соседом. И вот однажды, при личной встрече с этим самым соседом, выясняется, что он абсолютно не в курсе недавно обсуждаемой темы. С кем же вы тогда общались в виртуальном пространстве и что успели выболтать? Это - пример сетевой атаки, когда хакер, путем некоторых ухищрений заставляет сетевые компьютеры общаться через посредника, в качестве которого он навязывает свой компьютер. Другой пример - перехват данных, выполняемый через нелегальное подключение к сетевому кабелю. Эти атаки настолько популярны, что для них придумано даже свое название - сниффинг, от английского слова sniffing - вынюхивание. Для сниф-финга создано множество инструментов и технологий, наиболее популярные из которых описаны в Главе 17 этой книги, а в целом вопросы хакинга сетей TCP/IP описаны в части 5 этой книги.

• Вторжение через модем

Ныне, по крайней мере, на Западе, стало модным устанавливать (как правило, нелегально) модем в свой офисный компьютер для обеспечения к нему удаленного доступа со своего домашнего компьютера. Более того, кое-какие умники даже упрощают задачу хакера, одновременно с модемом устанавливая на компьютер программу для удаленного управления, да еще и без всякой настройки системы защиты! Все это напоминает открытие крепостных ворот и опускание моста через крепостной ров прямо перед носом атакующего противника - ведь такое подключение в обход общесетевой системы защиты, как правило, нарушает все правила политики безопасности организации. Не удивительно, что через некоторое время в локальной сети офиса заводится, скажем, вирус, который заражает все компьютеры сети, или программа клавиатурного шпиона, которая докладывает своему хозяину о всех действиях на компьютере, вплоть до нажатия на отдельные клавиши. Все вышеописанное -пример вторжения через удаленное соединение.

Поиск и использование таких соединений - это целая отрасль хакинга, поскольку они предоставляют хакеру много возможностей и перспектив [3]. В старых организациях, как правило, существует множество некорректно настроенных внутренних АТС с забытыми телефонными линиями, подсоединенными через модем к установленным где попало сетевым компьютерам. Эти подключения либо вообще не защищены от несанкционированного доступа, либо защищены недостаточно [3]. Поэтому все такие линии связи -просто пожива для хакера, поскольку предоставляют ему прекрасный способ вторжения в сеть через модем с помощью специального программного обеспечении для прозвона телефонных номеров и автоматического подбора паролей удаленного входа в атакуемую систему.

В Главе 18 описана наиболее высокоразвитая на текущий момент программа-сканер телефонных линий PhoneSweep. В отличие от многих имеющихся программ-сканеров телефонных номеров, PhoneSweep работает в системах Windows 2000/XP, снабжена графическим интерфейсом и мощной экспертной системой идентификации и взлома удаленных систем. Все это ставит ее вне всякой конкуренции по сравнению с популярными программами Login Hacker, TCH-Scan или ToneLock. Одно из применений PhoneSweep - аудит телефонных линий связи организаций с целью проверки их защищенности.

Вообще, программные средства хакинга удаленных соединений весьма популярны среди хакеров - очень многие «кул хацкеры» пытаются подключиться к серверам провайдеров Интернета именно с помощью программ прозвона телефонных номеров и подбора паролей входной регистрации. Что из этого получается, можно узнать на ленте новостей сайта SecurityLab.ru - сплошным потоком идут сообщения, как одного «кул хац-кера» тут забрали, другого здесь посадили, и так далее. Печально все это.... Все эти горе-«хацкеры» забывают, что существуют такие вещи, как автоопределители телефонных номеров (АОН), и их попытки несанкционированных телефонных подключений выдают их с головой. И тем не менее, как следует из некоторых источников в Интернете, до 50% попыток вторжений в чужие сети, включая банковские (!!!), выполняются через телефонные линии, причем с домашних компьютеров!!! Что тут сказать... Становится очевидным важность следующей задачи хакинга - сокрытие следов.