Максимальная Безопасность:

Руководство Хакера по Защите Вашего Internet Сайта и Сети

Предыдущая главаСледующая главаСодержание

2

Как Эта Книга Поможет Вам

До написания этой книги я долго дискутировал с редакционным штатом Sams.net. В этих дискуссиях стала ясной одна вещь: Sams.net требуется книга, которая была ценна всем пользователям, не только отдельной группе. Изучение более ранних книг по теме было очень полезным. Большинство из них были хорошо написаны и со вкусом представлены, но предназначались прежде всего системным администраторам NT или UNIX. Я понял, что на ряду с ними, имеются миллионы средних пользователей, которым необходимы элементарные знания безопасности. Чтобы удовлетворить эту потребность, я нацелился на создание универсальной книги по безопасности в Internet.

Чтобы сделать так, я был должен нарушить некоторые соглашения. Соответственно, эта книга вероятно отличается от других книг Sams.net по содержанию и форме. Однако, книга содержит обильные знания и имеет различные способы доступа к ним. Эта глава кратко выделяет, как читатель может наиболее эффективно находить и реализовывать эти знания.

Может ли Эта Книга Использоваться на Практике?

Может ли эта книга использоваться на практике? Несомненно. Она может служить и как справочником и как общим введением. Ключом для каждого читателя должно быть то, какая информация является наиболее важной для него или её. Книга свободно следует двум принципам, общим для книг Sams.net:

Эта книга гибрид обоих методов. Например, книга изучает сервис TCP/IP, затем быстро переходит к тому, как эти сервисы интегрированы в современных броузерах, на какие копромисы идут эти сервисы, и в конечном счёте, как защититься от таких компромиссов. В этом отношении, это образец упорядочивания информации в книге.

В то же самое время, книга начинается с общего изучения структуры Internet и TCP/IP (которая покажется простой по сравнению с последующим изучением перехвата, где Вы будете исследовать фактическую конструкцию информационного пакета). По мере того, как Вы продвигаетесь, информация становится всё более обширной. В этом отношении, это образец упорядоченного развития в книге.

Использование Этой Книги Более Эффективно: Кто Вы?

Различные люди получат различные выгоды от прочтения этой книги, в зависимости от обстоятельств. Я хочу, чтобы каждый читатель изучил следующие категории. Информация будет наиболее ценна Вам, если Вы:

Я хочу охватить все эти категории, чтобы книга была ценна каждой из них. Если Вы точно не подпадаете ни под одну из этих категорий, попробуете категорию, которая лучше всего описывает Вас.

Системный Администратор

Системный администратор это любой человек, занимающийся управлением сетью или любой частью сети. Иногда, люди могут не понимать, что они являются системными администраторами. В маленьких компаниях, например, обязанности программирования и системного администрирования иногда возлагаются на одного человека. Таким образом, такие люди универсальны. Они сохраняют систему работоспособной, добавляют новые учётные записи и, в основном, выполняют любую требуемую работу. Человек, выполняющий такую работу, и есть системным администратор.

Что Эта Книга Предлагает Системному Администратору

Эта книга предполагает только элементарные знания безопасности от системных администраторов, и я полагаю, что это разумно. Многие способные системные администраторы не хорошо сведущи в безопасности, не потому что они ленивы или некомпетентны, а потому что безопасность не была (до сих пор) для них проблемой. Например, рассмотрим сисадмина, который является хозяином во внутренней ЛВС. Один день, начальник говорит, что ЛВС должна быть подключена к Сети. Внезапно этот сисадмин брошен в совершенно другую (враждебную) среду. Он или она могли бы быть исключительно квалифицированными во внутренней безопасности, но иметь практического опыта в Internet. Сегодня, перед многочисленными системными администраторами сталкиваются с этой проблемой. Для многих дополнительное финансирование для найма специалистов по безопасности не доступно и таким образом, эти люди должны работать одни. Эта книга послужит таким системных администраторов введением в безопасность Internet.

Аналогично, более опытные системные администраторы могут эффективно использовать эту книгу, чтобы изучить или, возможно, освежить свои знание о различных аспектах безопасности в Internet, которые редко включают в книги, написанные для широкой публики.

Для любого типа сисадмина, эта книга позволяет достичь фундаментальную цель: Она поможет им в защите своей сети. Наиболее важно, что эта книга показывает нападение с обеих сторон. Она показывает и как напасть и как защититься в реальной жизнью, в боевой ситуации.

Хакер

Термин хакер относится к программистам, а не к тем, кто незаконно нарушает безопасность систем. Хакер это любой человек, который исследует целостность и безопасность операционной системы. Чаще всего, эти люди программисты. Обычно они имеют продвинутые знание аппаратных средств и программного обеспечения и способны ко взлому системы творческими способами. Часто, хакеры определяют новые способы использования или реализации сети, о которых изготовители программного обеспечения не предполагали.

Что Эта Книга Предлагает Хакеру

Эта книга предполагает только элементарные знания безопасности в Internet от хакеров и программистов. Для них, эта книга обеспечит понимание наиболее общих слабостей безопасности Сети. Она покажет, как программисты должны представлять себе эти слабости. Существует постоянно увеличивающийся рынок тех, кто может написать приложение клиент/сервер, особенно для использования в Сети. Эта книга поможет программистам принимать разумные решения о том, как разработать код безопасным и чистым. Как дополнительная польза, анализ существующих сетевых утилит (и их недостатки) может помочь программистам в разработке более нового и, возможно, более эффективного приложения для Internet.

Взломщики

Взломщик это любой человек, который использует расширенное знание Internet (или сети) чтобы ставить под угрозу сетевую безопасность. Исторически, эта деятельность включала взламывание защищённых паролем файлов, но сегодня взломщики используют широкий диапазон методов. Хакеры также иногда проверяют безопасность сетей, часто идентичными утилитами и методами, используемыми взломщиками. Чтобы различать между собой эти группы на тривиальном уровне, просто запомните следующее: Взломщики участвуют в таких действиях без разрешения. Также, в основном взламывание незаконно, недопустимо, и поэтому наказуемо сроком заключения.

Что Эта Книга Предлагает Взломщику

Для подающего надежды взломщика эта книга обеспечит короткий путь к знанию по взлому, которое трудно приобрести. Все взломщики начинаются где-нибудь, многие в известной группе Usenet alt.2600. Поскольку более новые пользователи затопляют Internet, качественную информацию о взломе (и безопасности) становится более трудно найти. Диапазон информации представлен плохо. Часто тексты или невероятно фундаментальны или мучительно технические. Есть немного материала, который находится между. Эта книга сохранит новому взломщику сотни часов чтения и осмысления и фундаментальной и технической информации до единственной (и я надеюсь) хорошо обработанной книги.

Деловой Человек

Цели делового человека относится к любому человеку, который открыл (или откроет) коммерческое предприятие, использующее Internet как среду. Следовательно, деловой человек, в значении, используемом в этой книге, является любым человеком, который ведёт торговлю по Internet, предлагая товары или услуги.

ПРИМЕЧАНИЕ: Не имеет значения, предлагаются ли эти товары или услуги свободно в качестве рекламы. Я всё равно классифицирую это как бизнес.

Что Эта Книга Предлагает Деловому Человеку

Предприниматели работают в сети каждый день. Если Вы один из них, эта книга может помочь Вам многими способами, например помочь Вам принять разумные решения относительно безопасности. Она подготовит Вас к недобросовестным специалистам по безопасности, которые могут потребовать у Вас тысячи долларов, чтобы выполнить основные задачи системного администрирования. Эта книга также предложит основную структуру вашей внутренней политики безопасности. Вы вероятно читали множество драматичных отчётов о хакерах и взломщиках, но эти материалы в значительной степени делают сенсацию. (Коммерческие поставщики часто извлекают выгоду из вашего опасения, распространяя такие истории.) Методы, которые будут использоваться против вашей системы, просты и методичны. Знайте их, и Вы будете знать, по крайней мере, основы того, как защитить ваши данные.

Журналист

Журналист - любой, кто пишет об Internet. Это может быть кто-то, кто работает для информационной службы или студент колледжа, пишущий для своей университетской газеты. Классификация не имеет никакого отношения к тому, сколько денег заплачено за материал и где он издан.

Что Эта Книга Предлагает Журналисту

Если Вы журналист, то знаете, что персонал безопасности редко говорит с такими как Вы. То есть они редко позволяют взглянуть изнутри на безопасность в Internet (и когда они делают так, это обычно имеет форму гарантий, которые могли бы или не могли бы иметь значение). Эта книга поможет журналистам в обнаружении хороших источников и твёрдых ответов на вопросы, которые они могли бы иметь. Кроме того, эта книга даст журналисту, который плохо знаком с безопасность полное представление этой области. Технология писания трудна и требует исследования. Моё намерение состоит в том, чтобы сузить это поле исследования для журналистов, которые хотят охватить Internet. В будущем этот тип отчётов (независимо, напечатанных или опубликованных в средствах массовой информации) станет более распространённым.

Случайный Пользователь

Случайный пользователь это любой человек, который использует Internet чисто как источник развлечения. Такие пользователи редко проводят в Сети больше десяти часов в неделю. Они занимаются серфингом по темах, которые имеют персональный интерес для них.

Что Эта Книга Предлагает Случайному Пользователю

Для случайного пользователя эта книга обеспечит понимание внутренней работы Internet. Она подготовит читателя к персональным нападениям различных видов, не только от других, враждебных пользователей, но и от любопытных глаз правительства. По существу, эта книга сообщит читателю, что Internet не игрушка, что личность может быть прослежена, и что могут случаться плохие вещи при использовании Сети. Для случайного пользователя эта книга могла быть названа "Как Избежать Захвата на Информационной Супермагистрали".

Специалист по Безопасности

Специалист по безопасности это любой человек, занимающийся защитой одной или более сетей от нападения. Нет необходимости, чтобы им платили за их услуги, и чтобы они квалифицировались в этой области. Некоторые люди делают это как хобби. Если они делают так, они специалист.

Что Эта Книга Предлагает Специалисту по Безопасности

Если ваша работа - безопасность, эта книга может послужить одной из двух целей:

ПРИМЕЧАНИЕ: В этой книге пустота относится к той части Internet, которая существует вне вашего маршрутизатора или модема. Это тёмная, циркулирующая масса машин, услуг и пользователей вне вашего компьютера или сети. Их количество неизвестно Вам. Этот термин обычно используется в кругах безопасности, чтобы сослаться к такому количеству.

Многое из информации, охваченной здесь, будет глубоко знакомо специалисту по безопасности. Часть материала, однако, может быть не столь знакома. (Наиболее вероятно, некоторые межплатформенные материалы по организации сетей со множеством операционных системам.) Дополнительно, эта книга даёт всестороннее представление безопасности, заключённое в одном тексте. (И естественно, материалы на CD-ROM обеспечивают удобство и полезность.)

Хороший, Плохой и Уродливый

Как Вы используете эту книгу, это Ваше дело. Если Вы купили или иначе получили эту книгу как инструмент, чтобы облегчить незаконные действия, это одно. Вы не будете разочарованы, информация, содержащейся в здесь, хорошо подходит для таких действий. Однако, обратите внимание, что автор не предлагает (и при этом он не потворствует) такие действия. Те, кто незаконно проникают через сети редко делают так для забавы и часто преследуют разрушительные цели. Прикиньте, как много требуется времени, чтобы установить сеть, записать программное обеспечение, сконфигуровать аппаратные средства и создать базы данных. Поэтому такие действия отвратительны сообществу хакеров, и сообщество взломщиков очень разрушительно. Однако, выбрать что ни будь одно, даже плохое, лучше чем не выбрать ничего. Взломщики также служат цели безопасности. Они помогают хорошим парням в обнаружении ошибок, свойственных сетям.

Хороший Вы, плохой или уродливый, вот некоторые советы по эффективному использованию этой книги:

Некоторые примеры, содержащиеся в этой книге, доступны на CD-ROM. Всякий раз, когда Вы видите значок CD-ROM на поле страницы, ресурс доступен на CD. Это может быть исходный текст, технические документы, HTML представление, системные файлы регистрации или другая ценная информация.

Части Книги

Следующие разделы описывают различные части книги. В каждом описании содержится список тем, охваченных этой главой.

Часть I: Установка Этапов

Часть I этой книги будет иметь самое большое значение для пользователей, которые только что присоединились к Internet сообществу. Разделы включают:

По существу, Часть I устанавливает этапы для остальных частей этой книги. Она поможет читателям в понимании текущего климата в Сети.

Часть II: Понимание Ландшафта

Часть II этой книги вероятно наиболее критическая. Она иллюстрирует основы Internet. Каждый читатель должен понять их прежде, чем он или она смогут эффективно схватывать концепции безопасности. Разделы включают:

Короче говоря, Вы исследуете, почему и как Internet была создана, какие услуги доступны, появление WWW, почему безопасность иногда трудно достичь, и различные методы выживания во враждебной вычислительной среде.

Часть III: Утилиты

Часть III этой книги исследует необходимый комплект инструментов хакера или взломщика. Она ознакомит читателя с боеприпасами Internet, или оружием. Она расскажет о быстром увеличение такого оружия, кто создаёт его, кто использует его, как оно работает, и как читатель может использовать его. Некоторые из описанных боеприпасов:

Описание обязательно включает примеры из реальной жизнью. Эта глава будет наиболее полезна читателям, участвующих или собирающийся участвовать в войне безопасности Internet.

Часть IV: Платформы и Безопасность

Часть IV этой книги осмеливается на более сложную информацию, обрабатывая уязвимость, свойственную некоторым операционным системам или приложениям. В этом месте книга ветвится, концентрируясь на проблемах, важных специфическим классам пользователей. (Например, если Вы пользователь Novell, Вы будете естественно стремиться к главе о Novell.)

Часть IV начинается с обсуждения основных слабостей безопасности, как они развиваются, и источники информации по их идентификации. Затем Часть IV переходит к платформам, включая:

Часть V: Beginning at Ground Zero

Часть V этой книги исследует, кто имеет власть над данной сетью. Я буду обсуждать отношения между этими авторитарными фигурами и их пользователями, а также абстрактно и философскими опишу безопасность Internet. В этом месте материал наиболее подходит тем, кто будет сталкиваться с проблемами безопасности каждый день. Разделы включают:

Часть VI: Удалённое Нападение

Часть VI этой книги касается нападений: фактические методы, чтобы облегчить взлом удалённой компьютерной системы. В ней я буду обсуждать уровни нападения и как можно подготовиться к ним. Вы исследуете различные методы в глубину: настолько глубоко, насколько средний пользователь может понять и, возможно, осуществить нападения такого характера. Часть VI также исследует сложные темы по кодированию безопасных CGI программ, слабости различных компьютерных языков, и о силе некоторых процедур аутентификации. Разделы, обсуждаемые в этой части, включают:

Часть VII: Закон

Часть VII сопоставляет юридические, этические и социальные последствия безопасности в Internet и недостатки, компромиссы вследствие этого.

Ограничения Этой Книги

Область этой книги широка, но имеются ограничения на полезность информации. Перед исследованием их индивидуально, я хочу кое-что прояснить: безопасность в Internet это сложная тема. Если Вы занимаетесь безопасностью сети, надеется исключительно на эту книгу ошибка. Никакая книга не может заменить опыт, чувство содержания и знания хорошего системного администратора. Вероятно, что такая книга никогда не будет написана. Некоторые ограничения этой книги включают следующее:

Своевременность

Я начал этот проект в январе 1997. Несомненно, с тех пор появились сотни новых дыр. Таким образом, первое ограничение этой книги касается своевременности.

Своевременность может бы, а может и не быть огромным фактором в значении этой книги. Я говорю, может или не может только по одной причине: Многие люди не используют самое последнее и самое лучшее из программного обеспечения или аппаратных средств. Экономические и административные факторы часто препятствуют этому. Таким образом, имеются ЛВС работающие под Windows для Рабочих Групп, которые постоянно соединены с Сетью. Точно так же некоторые личности используют для доступа SPARCstation 1s работая в SunOS 4.1.3. Поскольку старое программное обеспечение и оборудование существует в пустоте, многое из материала останется актуальным. (Хорошими примерами являются машины с установленными устаревшими операционными системами, которые, как теперь доказано, содержат многочисленные дефекты безопасности.)

Я советую читателю читать тщательно. Некоторые ошибки, исследованные в этой книге, общие только для единственной версии программного обеспечения (например, Windows NT Server 3.51). Читатель должен обратить особое внимание на информации о версии. Одна версия данного программного обеспечения могла бы содержать ошибку, однако более поздняя версия нет. Безопасность в Internet не статическая вещь. Новые дыры обнаруживаются с частотой одна в день. (К сожалению, такие дыры часто намного дольше исправляются.)

Будьте уверены, однако, что на момент написания информация, содержащаяся в этой книге, была актуальной. Если Вы неуверенны, изменилась ли информация, в которой Вы нуждаетесь, обратитесь к вашему поставщику.

Полезность

Хотя эта книга содержит много практических примеров, это не практические рекомендации для взлома серверов Internet. Правда, я обеспечил много примеров того, как взлом был сделан, и даже утилиты, для выполнения этой задачи, но эта книга не сделает читателя профессиональным хакером или взломщиком. Нет никакой замены опыту, и эта книга не может обеспечить её.

Что эта книга может обеспечивать, так это основы безопасности в Internet, хака и взлома. Читатель с небольшим знанием этих тем получит достаточную информацию, чтобы взломать средний сервер (средним я обозначаю сервер, поддерживаемый людьми, которые имеют несколько несовершенное знание безопасности).

Также, журналисты найдут эту книгу лишённой стиля сенсационной литературы, обычно связанной с темой. Для них, я приношу извинения. Однако, саги самураев имеют ограниченное значение в фактическом приложении безопасности. Безопасность это серьёзная тема, и должна быть освещена настолько ответственно, насколько это возможно. Через несколько лет многие американцы будут заниматься своими банковскими делами интерактивно. Как только первый частного гражданина по теряет сбережения всей жизни из-за взломщика, увлечение широкой публикой историями взломов закончится и шутки закончатся.

Наконец, настоящие специалисты по безопасности найдут, что для них только последняя четверть книги имеет существенное значение. Как отмечено, я разработал эту книгу для всех аудиторий. Однако, эти гуру должны сохранять глаза открытыми, когда они побегут через эту книгу. Они могут бы быть приятно удивлены (или даже возмущены) частью информации, показанной в последней четверти текста. Like a sleight-of-hand artist who breaks the magician's code, I have dropped some fairly decent baubles in the street.

Итог

Короче говоря, в зависимости от вашей позиции в жизни, эта книга поможет Вам:

Она ценна хакерам, взломщикам, системным администраторам, деловым людям, журналистам, специалистам по безопасности и случайным пользователям. Содержит большой объём информации, возможно быстрое перемещение между главами, и (я надеюсь) книга передаёт информацию ясно и кратко.

Одинаково, эта книга не может сделать читателя профессиональным хакером или взломщиком, и при этом она не может удовлетворить вас, как единственный источник информации о безопасности. Как сказано, давайте продвигаться вперёд, начиная с небольшого введения в хакеры и взломщики.

Предыдущая главаСледующая главаСодержание


Macmillan Computer Publishing USA

Macmillan Computer Publishing.


Все мессаги сюда:yanich@inbox.ru
Hosted by uCoz