Максимальная Безопасность:

Руководство Хакера по Защите Вашего Internet Сайта и Сети

Предыдущая главаСледующая главаСодержание

23

Введение Во Внутреннее Нарушение Сервера

Эта глава кратко обсуждает внутреннее нарушение. Внутреннее нарушение может быть определено как любое нарушение безопасности сети, к которой хакер или взломщик имеет некоторый доступ, в котором он является пользователем с допустимой учётной записью, или где он член компании, которая поддерживает такую сеть.

Являетесь ли Вы жертвой или инициатором внутреннего нарушения, знайте следующее: Уполномоченные пользователи имеют доступ к огромному количеству информации, которую удалённые (и неавторизованный) пользователи и взломщики упорно хотят приобрести. Например, уполномоченному пользователю, чтобы сформировать список пользователей в UNIX системе, достаточно только нескольких нажатий клавиш. Это может быть сделано так просто: 

ypcat passwd || cat /etc/passwd) | sed -e 's/:.*//'

Сравните это с формированием надежного списка имен пользователей с внешней стороны. Это может повлечь за собой написание сценария, который обычно выдает finger и ruser запросы, проверяет данные в выходном файле и отбрасывает дубликаты. Даже если Ваша целевая сеть маленькая, можно потратить много времени, пытаясь получить приличный список. Напротив, большие сети типа ISP могут выдавать сотни имен одновременно. Это зависит от того, насколько ленивый системный администратор в том или ином месте. Как я обсуждал в Главе 13, "Техника Сокрытия Личности", если системный администратор не сумел установить переписанный демон finger или не сумел ограничить доступ к finger или незначительно или полностью, может быть получен огромный список пользователей единственной командной строкой. Так что мое первое замечание следующее: Локальные пользователи, которые имеют ограниченный, но санкционированный доступ, могут получить весьма немного информации о пользователях.

Дополнительно, они имеют доступ к утилитам, которые недоступны удалённым, неавторизованным пользователям. Какие утилиты доступны зависит от системы, но в большинстве основанных на UNIX средах они включает по крайней мере доступ к языку оболочки и вероятно доступ к Perl. Если рассматриваемая сеть ISP, вероятно также имеется доступ к компилятору C. Если этот ISP выполняет Linux, есть большой шанс, что доступен черновой список компиляторов. Большинство системных администраторов, которые используют Linux, устанавливают большинство, если не все, пакеты разработки. Конечно будет доступен TCL. Это всё будет вероятно сопровождаться gcc и g++, пакетом разработки БЕЙСИК, и возможно Паскалем, Python, ФОРТРАНом и т.д. Разве Linux и GNU не замечательны?

Однако достаточно только языков оболочек. Они, вместе с awk и sed, формулируют огромную среду программирования. И это не применяется исключительно к UNIX. Вот некоторые мощные инструментальные средства разработки, которые могут уполномочить пользователя на других сетях или платформах:

Фактически, пользователь обращается к инструментальным средствам программирования даже при более критической проблеме в среде Windows 95. NT, если установлена правильно, дает сильное управление доступом. Это управление, по крайней мере, столь же сильно, как и в большинстве реализаций недоверенной UNIX. Напротив, Windows 95 не имеет управления доступом.

Из-за этого локальный пользователь может устанавливать такие пакеты разработки на свою рабочую станцию в любое время. Большинство этих инструментальных средств теперь существуют в свободной форме, или от GNU или некоторой другой организации или поставщика. Есть даже интерпретаторы TCL для Windows 95, так что пользователю не нужно тратить $400 за пакет разработки. Противопоставьте это средам NT и UNIX. Локальный пользователь, устанавливающий такие пакеты на локальной рабочей станции, имеет серьезные проблемы. Например, политики управления доступом могут не дать пользователям выполнять программы в некоторых каталогах. Также, в таких сетях часто устанавливаются ограничения на дисковое пространство. Таким образом, пользователь получает только (например) 8МБ пространства. Это препятствует всему, кроме самых маленьких компиляторов, и даже тогда, инсталляция их хитрое дело.

Наоборот, в сети Windows 95 пользователь может устанавливать всё что захочет. Однако он, вероятно, не делает этого. Если доступен полный дистрибутив Офиса, и не был установлен продукт управления доступом от третьего лица, локальный пользователь будет, по крайней мере, иметь доступ к WordBasic или другим утилитам, которые, пока не часто, характеризуются как вполне развитые инструментальные средства разработки, могущие предложить увеличенные уровни доступа и управления. Давайте даже не рассматривать возможности, если доступна Java.

Кроме того, локальные пользователи имеют непосредственный выход в сеть. Они поэтому главные кандидаты на размещение перехватчика на диске или дисках. Как обсуждалось в ранних главах, это позволяет им получать (по крайней мере) имена пользователей и пароли тех, кто расположен в том же сегменте сети.

Есть и другие преимущества быть локальным пользователем. Одно из них просто то, что Вы уполномочены быть там. Подумайте об этом не с точки зрения компьютеров, а с точки зрения реальной жизни. Личность, которая собирается совершить кражу поздно вечером уже в скомпрометированном положении. Если он найден слоняясь вокруг дома его жильцом, то уже покажется подозрительным. Однако если он живет внутри дома как гость, то имеет право скрываться около 3:00 утра.

Точно так же локальный пользователь с санкционированным доступом (который намеревается превысить этот доступ) как предполагается, находится в сети. Хотя для кого-то регистрация посреди ночи может показаться странной, нормальная деятельность пользователя в течение дня совершенно приемлема.

С этим правом приходят и некоторые удобства. Одно из них в том, что присутствие пользователя в системе не должно быть поспешным. Напротив, взломщик, который пробует усилить простой доступ, извлекая пользу, может быть вынужден проводить только короткие периоды времени в сети. Пока взломщик не получит корневые привилегии (или что-то вроде этого), он постоянно находится под давлением и угрозой быть обнаруженным. Напротив, локальный, уполномоченный пользователь может взламывать в свой досуг. Он вообще не должен спешить. Фактически, он может распространять свою деятельность в течение месяцев.

Кроме того, локальные пользователи имеют способность использовать совершенно безвредные методы (которые нельзя считать неавторизованным), чтобы получить информацию о системе. Пользователь может спокойно выполнять netstat, arp, ifconfig и другие запросы даже не задумываясь. Поэтому, он имеет роскошь формирования огромной базы знаний о системе, используя методы, которые вероятно никогда не будут зарегистрированы. Системный администратор, который заканчивает исследовать нарушение, которое началось таким путем, может только надеяться, что некоторые из этих запросов были переадресованы в выходные файлы или надеяться на другие материальные доказательства.

Как сказано, жизнь локальным пользователем имеет свои недостатки. Например, взлом под уполномоченной учётной записью ставит пользователя в скомпрометированное положение, если неприятность, в конечном счете, всплывет. Системный администратор может легко определить, кто произвел взлом. Если взломщик не сознает, что его деятельность была обнаружена (и системный администратор зарегистрировал эту деятельность), он плывет по течению. Последующее показание свидетеля сотрудника могут по крайней мере установить, что этот пользователь сидел за этим столом весь день.

Кроме того, локальный пользователь находится под большим давлением, чтобы избежать оставления материалов или доказательств после себя. Удаленный пользователь не должен волноваться об этом. Например, удалённый пользователь может выпускать finger запрос с его локальной командной строки и переадресовывать информацию в файл. Никто не будет сканировать каталоги удалённого пользователя на такие файлы. Напротив, локальный пользователь не может безопасно оставлять эту информацию на диске. Фактически, если ситуация достаточно серьезна, локальный пользователь не должен размещать информацию на диске вообще, даже если он намеревается удалить ее позже. Методы восстановления данных теперь достаточно продвинуты, так что если локальный пользователь стер или иначе удалил информацию, она, вероятно, может быть восстановлена. В таком случае сильный локальный взломщик, по крайней мере, зашифрует данные перед их удалением. Однако это усилие может быть потрачено впустую в зависимости от операционной системы, версии, типа файла и т.д.

Ссылка: Когда либо слышали о MicroZap? Если нет, то Вы познакомились с ней. Эта утилита стирает элементы файлов, которые были (или собираются быть) удаленны. Вы можете получить информацию по этой утилите в онлайне на http://www.govtech.net/.

Для интересного (хотя и краткого) взгляда на эту проблему, я предлагаю Вам прочитать статью "Erased Files Often Aren't" ("Стертые Файлы Часто не Являются Таковыми") от Michael Anderso. В ней сообщается, как он получил некоторые гибкие диски от руководителей консорциума. Он писал:

Как Вы можете предполагать, любопытство уничтожило кошку и я надел свою судебную шляпу информатики и бросил 'судебный взгляд' на дискеты. Эта краткая экспертиза показала, что дискеты были очищены, и файлы на всех дискетах были "стерты" с использованием стандартной команды DOS. Восстановление стертых файлов заняло всего несколько минут и содержание этих файлов имело дело с информацией, которая не могла рассматриваться чувствительной. Однако дальнейшая экспертиза дискет показала немного чувствительных данных, которые были записаны в файловый резерв, связанный со стертыми файлами.
Ссылка: Вы можете найти "Erased Files Often Aren't", от Michael Anderson (напечатанную в Government Technology Magazine (Правительственный Журнал Технологий), Январь, 1997) в онлайне на
http://www.govtech.net/1997/gt/jan/jan-justice&technology2/jan-justice&technology2.shtm.

Возможно взломщики, читающие это, не полностью убеждены. Возможно, этот пример был слишком благоприятным. Вот тогда следующий случай:

Служащие использовали программное обеспечение компании незаконно, чтобы производить и торговать продуктами, основанными на частной программе предпринимателя. В попытке скрыть следы проступка, служащие переформатировали жёсткие диски на своих ПК перед прекращением этой деятельности. Компания знала, что часть информации на приводах могла бы содержать электронный след, в котором они нуждались, чтобы остановить незаконное использование их интеллектуальной собственности. Они послали приводы лабораторию Ontrack в Миннеаполисе, MN, где данные были восстановлены, и использовали их, чтобы предпринять действия против прежних служащих.
Ссылка: Предыдущий параграф это выдержка из статьи от Richard K. Moher озаглавленной "Computer Crime: Tips on Securing and Recovering Electronic Data" ("Компьютерное Преступление: Советы По Обеспечению и Восстановлению Электронных Данных") (первоначально изданной Нью-Йоркской Компанией Law Publishing). Эта статья может быть найдена в онлайне на
http://www.ljextra.com/securitynet/articles/121796s2.html.

Анатомия Локального Взлома

В начале этой книги я обсуждал типы существующих дыр, почему они существуют и какое воздействие они могут иметь на безопасность Internet. Если Вы помните, я указал, что локальные дыры значительно более общие, чем удалённые.

Удаленные дыры вопрос очень критический. Фактически, когда удалённая дыра всплывает, взломщики должны работать, чтобы извлечь выгоду из этой дыры за первые несколько дней с момента ее появления. Если они не смогут сделать это, дыра будет быстро закрыта, препятствуя дальнейшей эксплуатации. Кроме того, программисты чрезвычайно осторожны при написании удалённых приложений, будь это клиент или сервер. Большие поставщики также осторожны, потому что приложения, которые предлагают удалённый доступ, создают очень переплетённую связь с Internet. Если бы этим приложениям нельзя было бы доверять, Internet бы остановилась. Наконец, из-за того, что так много внимания было уделено удалённым приложениям (особенно взломщиками, которые часто взламывают через границы или даже континенты), обнаружение удалённой дыры, которая может привести к получению корневых привилегий или даже привилегированный доступ, большая редкость.

Напротив, внутренние приложения могут часто выходить из строя. Не потому, что программисты, которые работают над внутренними приложениями, менее осторожны, чем их коллеги, которые пишут удалённые приложения. Скорее, программисты, которые работают над внутренними приложениями, имеют более трудную задачу. Например, приложения клиент/сервер обычно ограничены в своей области видимости. Правда эти приложения могут вызывать другие, но их область типично ограничивается горсткой операций, которые происходят вне отношений клиент/сервер.

Напротив, локальные внутренние приложения могут требоваться для связи с помощью интерфейса со множеством системных утилит или процессов. Как я упоминал в начале книги, многие не ожидают, что эти утилиты или процессы имеют значения для безопасности. Наконец, внутренние приложения могли быть написаны любым. Поставщики третьей стороны изобилуют для локальных внутренних приложений. Наоборот, существует не так много поставщиков, чей проект серверного пакета для данной платформы полностью сформирован. В семействе UNIX это особенно так. Сколько HTTP серверов существует для UNIX? Сравните это с числом текстовых редакторов, утилит для CD-ROM и утилит печати. Последние превышают остальные во много раз.

Это меньше в сообществах IBM и Macintosh. Однако эти сообщества имеют ещё другие проблемы. Например, в Windows 95 злонамеренный взломщик может легко напасть на основную базу данных системы, удалив только несколько ключевых файлов. Так нет удобного выбора оптимального решения.

Сбор Информации

Внутренний взломщик не должен беспокоиться о сложных методах, типа сканирования и инструментальных средств. Он просто должен знать систему и ее дыры. Это несложный вопрос.

Многое зависит от типа сети, которую он пытается взломать. Однако одна вещь остается универсальной, независимо от платформы, с которой он работает: известные дыры. Чтобы получить известные дыры взломщику, вероятно, придется провести небольшое или большое исследование (вероятно немного меньшее теперь, когда существует эта книга).

BUGTRAQ это большой источник информации по внутренним (и удалённым) дырам. Технический уровень информации, доступной в нем, часто очень высок. Кроме того, в нем часто детально анализируются утилиты и методы для большого разнообразия платформ. Прекрасный пример это регистрация инженера программиста из Штата Индиана в сентябре 1996. Он начинает ее следующим образом:

Я успешно осуществил это нападение против сервера 3.12, метод доступен на моей web странице в разделе Novell. Краткое объяснение нападения следующее ... Протокол регистрации NetWare состоит из трех обменов пакетами между сервером и клиентом. Сначала клиент посылает просьбу о ключе входа в систему, сервер генерирует случайное восьмибайтовое значение и посылает его клиенту. Затем клиент посылает просьбу об идентификаторе пользователя, с которым пользователь будет зарегистрирован, сервер ищет идентификатор пользователя в базе и посылает его клиенту ...
Ссылка: Предыдущий параграф это выдержка из "An Attack Against the NetWare Login Protocol" ("Нападение Против Протокола Регистрации NetWare"), от G. Miller. Это может быть найдено в онлайне на
http://geek-girl.com/bugtraq/1996_3/0530.html.

Сообщение имеет приблизительно три машинописных страницы, заканчиваясь диаграммами, показывающими методы, по средствам которых происходит обмен ключами при регистрации в Novell NetWare. В конце сообщения автор оставляет адрес своей WWW страницы, где можно найти другие утилиты для тестирования (или обхода) сетевой безопасности.

ПРИМЕЧАНИЕ: Некоторые (не все) утилиты Г. Miller'а находятся на CD-ROM, который сопровождает эту книгу. Две из них это утилита фальсификации и исходник C для нападения на процедуру входа в Novell.

Что ещё более экстраординарно в BUGTRAQ так это то, что читатели посылают в него детальную информацию о той или иной дыре. Когда сообщение, подобно упомянутому предварительно, появляется, оно немедленно сопровождается комментарием от других членов списка. Во многих случаях другие члены берут код, политику, или теорию и проверяют их в своей собственной среде. Это открывает дальнейшую информацию об обсуждаемом нападении.

Факт, что большинство информации, зарегистрированной в BUGTRAQ, относится к вторичным дырам, которые могут эксплуатироваться только локальными пользователями. Прослеживание нескольких таких консультаций может быть полезно. Предположим, что в качестве примера мы берем HP-UX. Поиск в BUGTRAQ чистых консультаций по безопасности или дыр даст некоторую очень интересную информацию.

ПРИМЕЧАНИЕ: Чистая консультация или дыра это любое сообщение верхнего уровня (сообщение, первое в ряде). Это буквально первое упоминание об этой конкретной дыре. Последующие потоки могут также быть существенны, но здесь я просто демонстрирую характер данных, не их значение.

Взгляните на несколько распечаток:

Такие консультации регистрируются каждый день. Многие из их содержат явные команды для тестирования вашего состояния уязвимости. Эти команды обычно включают команды оболочки или исходник. Локальный взломщик не должен быть гением, чтобы использовать эту информацию. Фактически, если взломщик подписан на BUGTRAQ (и возможно дюжину других общественных списков рассылки по безопасности), он не должен даже искать информацию. Как только уязвимость всплывает, оно автоматически отправляется всем членам списка. Если взломщик такой член, он получит эти горячие новости. Так что информация существует. Поэтому в такой ситуации разделим локальный взлом на две категории или классификации:

Взлом По Возможности

Взлом по возможности тот, который появляется внезапно. Это когда взломщик постоянно контролирует или, по крайней мере, получает консультации по безопасности. Одним утром он заводит свой броузер и новая уязвимость доступна. Эта ситуация очень общая.

Средний Взлом

Если средний взлом происходит в вашей сети, это ваша ошибка, а не действие взломщика. Это так, потому что средний взлом включает эксплуатацию известных уязвимостей. Это приводит нас к проблеме: Что такое "известная уязвимость" и через какой период времени ваш персонал безопасности или системный администратор должен знать ее?

Известная уязвимость это любая уязвимость, которая была напечатана. Технически, уязвимость нельзя считать известной, пока некоторый авторитетный источник не подтвердит ее. Примеры авторитетного источника это CERT, CIAC, или поставщик. Однако Вы не должны думать так. Иногда поставщики скрываются от неизбежного. Они могут знать, что дыра существует, но останавливают ее публикацию, пока не найдут исправление. Даже притом, что такая дыра не была напечатана, она существующая, известная уязвимость. Если она была распространена в пределах сообщества взломщиков, не имеет значение, скрывает ли поставщик ее или нет. Если взломщики начнут использовать дыру, чтобы эксплуатировать системы, и если первый случай этой деятельности был сообщен группе безопасности, дыра реальна и известна.

Ситуации подобно этой возникают, и Вы можете идентифицировать их. Они обычно всплывают следующим образом: отдельный системный администратор, чей сайт был успешно атакован через дыру, посылает сообщение в список по безопасности или в группу новостей. Это сообщение не несет подробных сведений, но объясняет, что с поставщиком входили в контакт. Пост указывает на слова поставщика, что он работает над исправлением и консультацией. Тогда отдельный системный администратор запрашивает информацию, типа имел ли кто-то подобный опыт.

В общих чертах, ваш системный администратор или персонал безопасности должны знать о напечатанной дыре в пределах одной недели с момента ее обнаружения. Именно за это им и платят, чтобы: Обнаруживать дыры и закрывать их. Если ваша сеть взламывается из-за старой дыры, которая была напечатана больше чем год назад, у Вас проблемы.

Чрезвычайно Локальные Пользователи: Аппаратные Соображения

Многие компании не обращают достаточно внимания на аппаратные соображения. Если Вы располагаете машины таким способом, что локальные пользователи могут вмешаться в них, ожидайте неприятностей. Предположим, что Вы используете (вымышленную) операционную систему, названную операционной системой BOG. (Я надеюсь, что такая операционная система не существует. Если она есть, я приношу извинения. В любом случае, я не слышал о системе BOG.) Рисунок 23.1 показывает конструкцию этой вымышленной операционной системы.

Вымышленная сеть системы BOG
Рисунок 23.1. Вымышленная сеть системы BOG.

Этот рисунок содержит сеть, состоящую из сервера и двух рабочих станций. Предположим, что операционная система BOG имеет сильное управление доступом, и оно настолько сильное, что пользователь на Рабочей Станции 2 (который имеет высокие привилегии доступа) размещает файлы на диске Рабочей Станции 1. К этим файлам можно обращаться только с Рабочей Станции 2 или корневому пользователю. Другими словами, часть диска Рабочей Станции 1 принадлежит Рабочей Станции 2 и корневому пользователю.

Говорят, что Рабочая Станция 1 работает на диске SCSI, который присоединён к адаптеру (или даже плате, если Вам угодно). Системный администратор установил программное обеспечение, которое не позволяют ни одному пользователю загрузиться с гибкого диска. Диск SCSI присоединяется к плате через блокировочное устройство (в большинстве случаев. Я видел много таких в сетях Mac). Операционная система BOG загружается непосредственно к приглашению на вход в систему, и пароль отдельного локального пользователя блокируется. Это довольно плотная установка.

Теперь предположите, что Рабочая Станция 1 расположена в своей собственной комнате. Хорошо, именно тогда все меры безопасности сводятся к нулю. Пользователь может подменить оборудование без опасения быть обнаруженным. Пока пользователь может подключить дополнительный диск к адаптеру SCSI, он может обойти эту защиту. У него может не получиться сделать это, используя диск, загружающий операционную систему BOG, но он может использовать другой. Для демонстрации примите, что Рабочая Станция 1 выполняет Windows NT. Предположим, что пользователь принес диск SCSI, загружающий Linux, и изменил идентификационные номера SCSI, так чтобы адаптер захватывал диск Linux первым. Дальше не требуется никаких усилий. Диск Linux загрузится к приглашению на вход в систему, и пользователь войдет как корень. Во время загрузки Linux подключит другой раздел. Пользователю нужно только смонтировать раздел NT в локальном (Linux) каталоге по своему выбору. В конце концов пользователь Linux корневой. Он может делать всё что угодно. Правдивая История: Системный администратор сети Windows для Рабочих Групп с установленным управлением доступом третьего лица был сбит с толку изменениями в файловой системе. Он имел утилиту регистрации, но log-файлы показали очень небольшую деятельность, которую можно было бы считать подозрительной. Несколько недель спустя системный администратор поместил поддельный файл базы данных в каталог и стал ждать, кто возьмет приманку. Файл базы данных имел пароль в другой части сети, где были расположены несколько старых, утомленных машин наследства NetWare. На рассматриваемой машине Novell системный администратор вел усиленную регистрацию. Подозрения подтвердились, когда кто-то действительно вошел, используя приманку, но не важно по какой причине, системный администратор не смог определить личность пользователя.

Здесь начинается хорошая часть: я был вызван в воскресенье утро для осмотра. После нескольких часов попыток определить проблему, я обнаружил скрытый каталог на одной машине. В этом каталоге были несколько файлов, включая gzip.exe и rawrite и скрытый пакетный файл. В пакетном файле были команды для загрузки файловой системы Linux. Увидев это, я перезагрузил машину и вошел в CMOS. Затем я ударил себя несколько раз. CMOS сообщил о втором диске. Я перезагрузился снова и выполнил скрытый пакетный файл. Это немедленно привело к загрузке Linux со второго диска. Очевидно, пользователь нашел необходимое время, чтобы снять крышку и установить второй жёсткий диск IDE. Естественно Windows не видела второй диск, потому что его файловая система была экзотической (по крайней мере для Windows). Во время завтрака (или другого доступного времени) пользователь загружал Linux и начинал действовать. Причудливо.

Для тех, кого это интересует: служащий использовал Slackware версию Linux. Эта файловая система содержала множество различных файлов, награбленных в сети. Вы можете удивиться как мы, без корневых привилегий, сумели просмотреть этот диск. Примечание: Всегда приносите загрузочные диски. Они современный эквивалент гранатомёта. Любой тип программного обеспечения, которое обходит безопасность вашей системы, можно эффективно помещать в систему или в пределах ее близости способом достаточным, чтобы произвести такое нарушение. Например, предположим, что Вы удалили привод гибкого диска так, чтобы никто не мог загружать программное обеспечение. Обезопасит это Вас или нет? Нет. Если ваша операционная система содержит родные драйверы для множества устройств, у Вас проблемы. Возможно может быть введён другой диск SCSI. Возможно может быть введён другой Zip диск.

СОВЕТ: В сетях, которые используют некоторую форму DOS, Plan 9 скоро станет вероятно скрытной операционной системой. Это особенно полезно, потому что основной дистрибутив очень мал. Система была бы также популярной, потому что она экзотическая и не легко управляема новичком, даже если он наткнется на неё. Большинство пользователей ПК не знали бы, на что они смотрят.

Однако для того, чтобы взломщик мог осуществить это, он должен или ввести второй диск, или инсталлировать Plan 9 при установке рабочей станции (например, при инсталляции DOS). Единственный другой путь состоит в том, если он имеет необходимое пространство, чтобы временно переместить содержимое привода, в то время как он заново выделяет разделы и устанавливает Plan 9. В зависимости от скорости сети, приводов и процессора, это может быть сделано за разумное время. Обнаружить это может быть проблемой, если взломщик квалифицирован. Наиболее надежный путь состоит в том, чтобы проверить таблицу разделов или сравнить сообщаемый размер диска с фактическим размером.

Даже если родные драйверы не существуют, пока Вы предлагаете вашим пользователям доступ к Internet, они могут получить это программное обеспечение там. Например, многие системы могут изначально не поддерживать Zip интерфейс, но iomega имеет сайт с драйверами для всех типов систем. Поэтому, даже существование последовательного порта это риск для безопасности.

Доступ к Internet для локальных пользователей представляет настолько широкий диапазон проблем для безопасности, что было бы трудно остановиться на одной конкретной вещи. Безопасность в этой ситуации это двухсторонняя улица. Например, Вы не обязательно должны поставить под угрозу вашу сеть. Вместо этого Вы можете нагрузить себя тяжелой работой. Вот сообщение в список рассылки, поддерживаемый на firewalls@GreatCircle.COM. Автор был системным администратором, ответственным за информационную безопасность, и дата сообщения пятница, 28 марта, 1997. Автор пишет:

Я заключил через пятимесячную статистику, которая была получена из экспорта через брандмауэр ... что было послано более чем 400,000 строк частного исходного кода. Все люди имели законный внутренний доступ. Это заставило меня почувствовать (почти), что вся регулярная работа по безопасности UNIX, которую я делал, не имела никакого значения. Кто заботится о том, что они ломают корень, если распределенные воры и идиоты просто посылают email, что они уже имеют доступ?

Для взломщиков это красота Internet. Лучший способ пройти через брандмауэр состоит в том, чтобы иметь кого-то внутри, кто выдаст необходимую информацию. Я знаю людей, которые получили от компаний таким способом пароли и другую информацию. Как правило, один член получает контракт (или временное задание), работая внутри. Он выдает информацию, которую не легко получить через брандмауэр любым другим способом. Я знаю, что одна группа сделала это с Pacific Bell. Другая сделала это с Chevron. These are not your average Mom and Pop outfits.

Одна вещь, которая может по крайней мере не дать внутренним ворам переместить ваши ценные данные это Безопасный Сетевой Сервер (SNS - Secure Network Server) Корпорации Вычислительной Безопасности. Это Агентство Национальной Безопасности одобрило модуль фильтрации электронной почты. Система использует частную технологию и, согласно документации, обеспеченной Корпорацией Вычислительной Безопасности, система

... обеспечивает Многоуровневую Защиту (MLS - Multilevel Security), позволяя обмен SBU или неопределенной информацией между Секретными сетями и SBU или Неклассифицированными сетями. Настраиваемая фильтрация и возможность цифровой подписи FORTEZZA SNS гарантирует только уполномоченную электронную почту, посланную из защищенной среды.
Ссылка: Проверьте SNS в онлайне на
http://www.nsa.gov:8080/programs/missi/scc_sns.html.
Он просто устрашает.

В действительности есть проблемы, даже если ваши локальные пользователи не пробуют активно взломать систему. Они могут путешествовать в Сети по работе не понимая, что некоторая ценная или частная информация неосторожно выскользнула из вашей сети. Один пример недавнее противоречие Shockwave. Недавно было изучено, что Shockwave может использоваться для нарушения безопасности сетей, посетивших страницу:

Разработчик может использовать Shockwave, чтобы обратиться к почтовым папкам пользователя Netscape. Это делается предположением имени и пути к почтовому ящику на жёстком диске пользователей. Например, имена типа: Inbox, Outbox, Sent и Trash это заданные по умолчанию имена почтовых папок. Заданный по умолчанию путь к 'Inbox' в Win 95/NT был бы: 'C:/Program Files/Netscape/Navigator/Mail/Inbox'. Затем разработчик может использовать команду Shockwave GETNETTEXT, чтобы заставить Navigator сделать запрос почтового сообщения из почтовой папки. Результаты этого запроса могут затем быть переданы в переменную, и позже обработаны и посланы на сервер.
Ссылка: Предыдущий параграф это выдержка из статьи David de Vitry, озаглавленной "Shockwave Can Read User's Email" ("Shockwave Может Читать Email Пользователя"). Она была первоначально зарегистрирована в онлайне на
http://www.webcomics.com/shockwave/, и может быть также найдена на
http://www.ntsecurity.net/.

Удаленные Локальные Пользователи

Удаленный локальный пользователь это пользователь, который обладает учётной записью в вашей системе, но не имеет к ней физического доступа. В некотором отношении мы все удалённые локальные пользователи, потому что мы имеем учётные записи на машинах, расположенных в офисах наших ISP. То есть мы локальны, потому что зарегистрированы в системе и имеем идентификатор пользователя и пароль, но мы физически удаленны от машины.

Это теперь становится более общим в частных сетях и больше не просто проблема для ISP и фирм разработчиков программного обеспечения. Теперь люди по всей стране (даже миру) делают большую часть своей работы дома или в дороге. Я, со своей стороны, не видел офис больше двух лет. Действительно, вся эта книга была заверена авторским правом, представлена и отредактировала без единой встречи с моими редакторами; всё это было сделано по Internet. Теперь большие фирмы делают так, чтобы их служащие осуществляли дистанционный доступ на регулярной основе. AT&T, например, сообщила, что в 1994 более 22,500 ее служащих работали дома.

Недавно по этой теме был выпущен отчет озаглавленный "Two Years Later A Report on the State of Telecommuting" ("Отчет о Состоянии Дистанционного Доступа Два Года Спустя"). Выборка, по крайней мере, 13 из 500 компаний показала, что формальные соглашения осуществления дистанционного доступа между фирмами и служащими были обычным делом:

11 из этих 13 компаний имеют или находятся в процессе реализации формальных программ осуществления дистанционного доступа. Две компании сопровождали пилотов, в то время как пять компаний имеют программы, которые работают четыре года или дольше.
Ссылка: "Two Years Later A Report on the State of Telecommuting" (1996, Smart Valley, Inc.) может быть найден в онлайне на
http://www.svi.org/PROJECTS/TCOMMUTE/telrpt.pdf.

Большинство удалённых пользователей регистрируются на сервере определенного типа. Я бы охарактеризовал их, как удалённых локальных пользователей. Естественно эти пользователи будут, вероятно, иметь меньше власти в удалённом терминале, чем они имели бы в своём собственном. Однако, это не всегда так. Многое зависит от программного обеспечения, которое они используют для соединения. Если программное обеспечение идентично тому, которое они использовали бы без осуществления дистанционного доступа, то да, они будут иметь по существу ту же власть, как если бы они находились прямо перед сервером в офисе.

Процесс

Является ли пользователь локальным или удалённым локальным, его нападение в основном будет в значительной степени одинаковым. Единственное тактическое преимущество, которое имеет истинно локальный пользователь, состоит в том, что он может управлять аппаратным обеспечением и возможно получать доступ к некоторым утилитам, которые не могут использоваться дистанционно.

Примеры таких утилит включают любые X приложения. Хотя X приложения могут хорошо поддерживаться по Internet, это редко делается на практике. Во-первых, это риск для безопасности, во вторых, скорости передачи клиента обычно недостаточно (если удалённый пользователь путешествует с модемом 28.8). Тоже самое можно сказать о выполнении Windows или Windows NT по Internet. Если Вы не имеете, по крайней мере, ISDN в оба конца, это не реально. Правда, некоторые приложения, особенно разработанные Microsoft, перемещают только основные данные в противоположность всему графическому материалу, но большая часть приложений не разработано таким способом.

ПРИМЕЧАНИЕ: Обратите внимание, что удаленность пользователя никоим образом не влияет на его возможность использовать инструментальные средства разработки, которые поддерживают CLI.

Многое зависит от вашей топологии и от того, какой Вы взломщик. Есть некоторые ситуации, в которых даже статус пользователя не может помочь взломщику в принятии прямого маршрута (прямой маршрут, это регистрация на его рабочей станции на работе и выход с этой точки в сеть). В этих случаях даже полу привилегированному пользователю, вероятно, придется входить, используя те же самые методы, как и нападающему без учётной записи. Это обычно происходит, когда взломщик ищет доступ к сегменту сети, к которому он не принадлежит.

Независимо от того, какую платформу Вы используете, единственная преграда для этих типов вторжений ведение усиленной регистрации. Поскольку эти пользователи имеют, по крайней мере, некоторый уровень доступа, имеется хороший шанс, что Вы не сможете легко различить нападение. Помните то, что я сказал ранее: Они имеют причину и право быть там. Следующие разделы представляют некоторые утилиты, которые могут помочь Вам в предотвращении (или в худшем случае, регистрации) внутреннего вторжения.

Монитор Безопасности Kane

Монитор Безопасности Kane доступен для Windows NT, и родственное приложение доступно для Novell NetWare. Система Kane чрезвычайно гибка, предлагая системным администраторам способность определять свои собственные события безопасности. То есть Вы можете присваивать значение для широкого диапазона событий, которые могли бы произойти, и что, по вашему мнению, составляет нарушение безопасности. (Это в некотором смысле эквивалентно аварийной модели управления доступом, доступной в VMS.) Как сообщено Intrusion Detection, Inc., компанией, которая разработала программное обеспечение:

Сетевой администратор или должностное лицо охраны могут легко настроить систему предупреждать, когда происходят события безопасности. Например, администратор мог бы хотеть быть уведомлен, если создана или удалена новая административная учётная запись. Или если идентификатор пользователя выключил контрольное отслеживание, сбросил пароль или обратился к машине Главного управляющего и скопировал несколько чувствительных файлов.
Ссылка: Найдите документ, из которого предыдущий параграф является выдержкой, на
http://www.intrusion.com/ksm.htm.

Полностью функциональная испытательная версия доступна на

Анализатор Протокола и Программное Обеспечение Сетевого Монитора NetXRay

Используете Windows 95, не так ли? Попробуйте NetXRay от CINCO. Это истинно хорошо написанный пакет. Он позволяет контролировать множество сегментов сети и поддерживает множество типов мониторов и сбора данных (и анализа), о которых Вы можете мечтать. Более того, Вы можете взять его для испытания (но он запишет только горстку пакетов; это только демонстрационная версия). Чтобы сделать так, направьте ваш броузер сюда:

Сетевой Анализатор LANWatch Для DOS

Сетевой Анализатор LANWatch для DOS это хорошо написанная утилита, которая обеспечивает более 400-сот отдельных фильтров для трафика ЛВС. Кроме того, экраны LANWatch обеспечивают настройку цвета всех событий и статистики. Он имеет средства для контроля в реальном времени, а также для создания снимков конкретного события для близкой экспертизы. Он также выполняется на очень, очень низком уровне. Требования DOS 3.3 и 512КБ. Это идеальный инструмент для основанного на DOS сетевого управления или для любого, кто пробует написать утилиту для работы по сети. Если Вы пишите заказное сетевое приложение для сети DOS, то можете проверить эффективность приложения, используя LANWatch, наблюдая ваш код в действии. Информация по LANWatch может быть получена здесь:

inftp.pl

inftp.pl это Perl сценарий, который производит запись входящих FTP сессий. Он был написан Stephen Northcutt, системным администратором военной сети. Northcutt является разработчиком нескольких тонко написанных утилиты. Эта утилита (возможно используемая вместе с другой от Northcutt, названной inpattern.pl) позволяет Вам остро регистрировать FTP трафик. Комбинация из этих двух утилит дает log-файлы, которые перехватывают определенные события или образцы. Обе доступны в местоположении, приведённом здесь, как и документ за авторством Northcutt озаглавленным "What Do Castles Have in Common with Corporate Networks?" ("Что Имеют Общего Замки с Корпоративными Сетями?"). Документ предлагает краткую (но удивительно чистую) обработку брандмауэров. Northcutt обеспечивает некоторые хорошие ссылки. Сценарии находятся здесь:

SWATCH

SWATCH (название произведено из термина системный наблюдатель) это популярная утилита, созданная Stephen Hansen и Todd Atkins в Stanford. Чтобы ближе взглянуть на записи SWATCH, Вы должны посетить сайт Stephen Northcutt. Он держит log-файл здесь:

Крутая особенность SWATCH заключается в том, что он может обрабатывать много систем. Это быстрый и безболезненный способ интегрировать данные из утилит syslog нескольких машин. SWATCH доступна здесь:

Онлайновый Центр Управления Сетью NOCOL

NOCOL, написанный для UNIX систем, наблюдает за трафиком в сети. Это большой пакет, который имеет много важных возможностей. Он использует стандартный основанный на Curses интерфейс, но поддерживает дополнительные модули Perl, написанные пользователем. (Он даже имеет интерфейс Perl. Соответственно, он называется PerlNOCOL.) Написанный Vikas Aggarwal и выпущенный в конце 1994, NOCOL не то, что Вы можете установить за 10 минут. Это сложный и законченный пакет, с отдельными мониторами для каждого интерфейса. Проверьте его здесь:

NeTraMet

NeTraMet интересная утилита. Она немного устарела, но работает неплохо и поддерживает и ПК и SunOS. Дистрибутив содержит исходник и для SunOS и для IRIX, а также предварительно подготовленный выполняемый файл для DOS. Если хотите Вы можете также получить исходник для ПК версии. (Это основанный на правилах фильтр и средство анализа. Предупреждаю, однако, что документация находится в PostScript. Получите интерпретатор.) NeTraMet находится здесь:

Итог

Внутренние сетевые нарушения гораздо более общие, чем Вы думаете. Проблема в том, что о них не сообщают так же привередливо, как о других типах деятельности по взлому. Это, прежде всего благодаря потребности в корпоративной секретности. Многих внутренних взломщиков схватывают и просто выгоняют с небольшой шумихой.

В прошлом внутренняя сетевая безопасность была беспокойством прежде всего для больших учреждений или корпораций. Однако усовершенствование персонального компьютера изменило этот климат. Сегодня большинство предпринимателей имеют некоторую форму сети. Таким образом, даже если Вы обслуживаете маленькую компанию, то, возможно, захотите переоценить свои политики компьютерной безопасности. Недовольные служащие принимают во внимание высокий процент внутреннего ущерба и воровства частных данных. Вы должны иметь некоторую форму защиты и, если возможно, план восстановления после бедствия.

Ресурсы

A Guide to Understanding Data Remanence in Automated Information Systems (Руководство к Понимающей Остаточной Намагниченности Данных в Автоматизированных Информационных Системах). NCSC-TG-025 Библиотека №. 5-236,082. Версия 2.

Erased Files Often Aren't (Стертые Файлы Часто Не Являются Таковыми). M.R. Anderson. Government Technology Magazine (Правительственный Журнал Технологий), Январь, 1997.

Computer Crime: Tips on Securing and Recovering Electronic Data (Компьютерное Преступление: Советы по Защите и Восстановлению Электронных Данных). Richard K. Moher. Law Journal Extra и Law Technology Product News, первоначально изданные Нью-Йоркской Компанией Law Publishing.

CIAC Bulletin G-45: Vulnerability in HP VUE (Бюллетень CIAC G-45: Уязвимость в HP VUE).

Some Remarks on Protecting Weak Secrets and Poorly Chosen Keys from Guessing Attacks (Некоторые Замечания по Защите Слабых Секретов и Плохо Выбранных Ключей от Нападений Предположением). Gene Tsudik и Els Van Herreweghen.

CERT Guidelines for Responding to a Root Compromise on a UNIX System (Рекомендации CERT для Ответа на Компрометацию Корня в UNIX Системе). Версия 2.0, Март 1996.

Running a Secure Server (Выполнение Безопасного Сервера). Lincoln D. Stein. Институт Whitehead/MIT Центр Исследования Генома.

Securing Internet Information Servers (Безопасные Информационные Серверы Internet). CIAC 2308.

UNIX Incident Guide How to Detect an Intrusion (Руководство по Инцидентам в UNIX, Как Обнаружить Вторжение). CIAC-2305.

CERT(sm) Coordination Center Generic Security Information. January 1995.

Implementation of a Discretionary Access Control Model for Script-Based Systems (Реализация Контролируемой Модели Управления Доступом для Основанных на Сценариях Систем). T. Jaeger и A. Prakash. 8-ой Симпозиум Основ Компьютерной Безопасности IEEE, 1995.

The Distributed Compartment Model for Resource Management and Access Control Technical Report (Распределенная Модель Отделения для Технического Отчета по Управлению Ресурсами и Управлению Доступом). Steven J. Greenwald и Richard E. Newman-Wolfe. Университет Флориды, Номер TR94-035, 1994.

An Access Model for Shared Interfaces (Модель Доступа для Общедоступных Интерфейсов). G. Smith и T. Rodden. Исследовательский отчет. Университет Lancaster, Вычислительный Отдел, Номер CSCW/8/1994, 1994.

Предыдущая главаСледующая главаСодержание


Macmillan Computer Publishing USA

Macmillan Computer Publishing.


Все мессаги сюда:yanich@inbox.ru
Hosted by uCoz