Cpeдcтвa анализа признаков вторжения

Итак, для выявления признаков вторжения вы должны непрерывно контролировать большой объем информации, содержащийся в различных журналах регистрации, в сообщениях различных программ и в отчетах о различных событиях компьютерной системы. Более того, получив достаточные доказательства наличия попыток вторжения в компьютер, еледует проанализировать ситуацию -ведь не каждая попытка сканирования портов компьютера означает атаку на систему. Понятие атаки включает в себя характеристику повторяемости, устойчивости появления подозрительных событий безопасности, что может свидетельствовать о целенаправленном хакинге системы.

Анализ признаков вторжения может быть весьма трудоемким делом, поскольку эбъем информации, фиксирующей все замеченные события безопасности, может быть весьма велик. Поэтому такой анализ может выполняться с помощью следующих автоматизированных методов наблюдения за компьютерной системой:

• Контроль целостности файлов и папок. Для этого можно воспользоваться средствами аудита Windows 2000/XP или описываемых в последующих главах специальными утилитами, например, программой FileWatch 1.00 контроля обращений к файлу из пакета foundstone_tools (http://www.foundstone.com).

• Контроль записи в системный реестр. Например, по записям в системном реестре можно выявить Троянского коня - программу, скрытно собирающую сведения о работе пользователя на компьютере. Для этого существует множество специальных утилит, например, популярная программа TCMonitor из пакета The Cleaner (http://www.moosoft.com).

• Анализ журналов регистрации. В принципе, пользователи могут и сами просматривать журналы безопасности Windows 2000/XP в поисках подозрительных событий, типа попыток подбора пароля для входной регистрации, регистрации из необычного места в необычное время, попыток обращения к закрытым данным. Однако имеются программы, облегчающие и автоматизирующие решение такой задачи, например, утилита RealSecure (http://www.iss.net).

• Анализ сетевого трафика. Для выявления попыток сканирования, инвентаризации, определения типа операционной системы и сетевых атак DoS следует контролировать структуру получаемых сетевых пакетов. Это можно делать либо самостоятельным анализом журналов сетевого трафика, либо прибегнуть к системе IDS, например, программе BlacklCE Defender (http://www.iss.net).

• Анализ процессов. Примером такого анализа можно назвать выявление запущенных Троянов. Конечно, можно самостоятельно просматривать запущенные процессы, включая скрытые, однако это достаточно сложное дело. Для анализа запущенных процессов, в том числе, в режиме реального времени, лучше всего прибегнуть к специальной утилите, типа программы TCActive из пакета The Cleaner (http://www.moosoft.com).

• Анализ открытых портов. Слежение за открытием портов в режиме реальног времени позволяет избежать многих неприятностей, и для решения такс задачи можно прибегнуть к специальным утилитам, например, програм.У: Attacker 3.0 из пакета foundstone_tools (http://www.foundstone.com).

• Обнаружение нелегальных устройств. Если в сетевой компьютер нелегальн; в обход системы защиты, установить модем, то сеть превращается в npoxoz ной двор. Для контроля установленного оборудования можно воспользовать ся как встроенными средствами операционной системы Windows, так и пр^ бегнуть к специальным утилитам инвентаризации, например, предоставляв мым пакетом SOLARWINDS (http://www.solarwinds.com).

В последующих уроках мы обсудим работу с перечисленными выше программными инструментами антихакинга по мере того, как будем углубляться в методы, применяемые хакерами для вторжения в систему. Но все эти инструменты применяются для решения только первой задачи, стоящей перед хакером - обнаружения вторжения.

Но вот вторжение налицо. Вы определили, что в системе сидит Троянский конь и каждый день по портам компьютера стучат хакеры, пытающиеся побудить этого коня к действиям. Что же делать дальше?