Максимальная Безопасность:

Руководство Хакера по Защите Вашего Internet Сайта и Сети

Предыдущая главаСледующая главаСодержание

26

Уровни Нападений

Эта глава исследует различные уровни нападений. Нападение это любое неавторизованное действие, предпринимаемое с намерением препятствия, повреждения, выведения из строя, или нарушения безопасности вашего сервера. Такое нападение может привести от отказа в обслуживании до полной компрометации и разрушения вашего сервера. Уровень нападения, которое может быть успешным против вашей сети, зависит от безопасности, которую Вы используете.

Когда Нападение Может Произойти?

Нападение может произойти в любое время, когда ваша сеть связана с Internet. Поскольку большинство сетей связано с Internet 24 часа в день, это означает, что нападения могут происходить в любое время. Тем не менее, есть некоторые соглашения, которыми, как Вы можете ожидать, будут следовать нападающие.

Большинство нападений происходит (или, по крайней мере, начинаются) поздно вечером относительно нахождения сервера. То есть если Вы находитесь в Лос-Анджелесе, и ваш нападающий находится в Лондоне, нападение, вероятно, произойдет в поздно вечером или рано утром по Лос-анжелесскому времени. Вы могли бы думать, что взломщики будут работать днем (относительно цели), потому что интенсивный трафик мог бы скрыть их деятельность. Однако есть несколько причин, почему взломщики избегают такого времени:

Любимые цели для взломщиков это машины, на которых никого нет. Какое-то время я использовал рабочую станцию в Японии, чтобы начинать нападения, потому что никто, как казалось, не заходил на нее. Я посылал telnet запросы с этой машины назад в Соединенные Штаты. Я нашел подобную ситуацию с новым ISP в Риме. (Я не могу сказать больше, потому что они определенно помнят меня, и моя личность будет открыта. Они фактически сказали мне, что если я когда-либо буду ломать в Италии, они найдут меня!)

С такими машинами, которые Вы можете временно занять, можно делать все что угодно. Кроме того, у Вас есть много времени, чтобы изменить log-файлы. Так что примите к сведению: Большинство такой деятельности случается ночью относительно вашего географического местоположения.

СОВЕТ: Если Вы произвели мощную регистрацию и имеете ограниченные время и ресурсы для проведения анализа этих log-файлов, я бы сконцентрировался на последних ночных запросах на подключение. Эти части ваших log-файлов несомненно покажут интересную и причудливую информацию.

Что Используют Взломщики Операционных Систем?

Операционные системы, используемые взломщиками, различны. Macintosh наименее вероятная платформа для взломщика. Просто нет достаточно утилит, доступных для MacOS, а существующие слишком трудно портировать. UNIX и подобные ей, вероятно FreeBSD или Linux, наиболее вероятные платформы.

Наиболее очевидная причина для этого стоимость. За книгу ценой $39 по Linux (с сопроводительным CD-ROM) взломщик получит все, в чем он мог когда-либо нуждаться в смысле утилит: C, C++, Smalltalk, Perl, TCP/IP и намного больше. Кроме того, он получит полный исходный код операционной системы.

Эта проблема стоимости не тривиальна. Даже старые рабочие станции могут быть дороги. Ваши деньги купят больше вычислительной мощности, если Вы остановитесь на IBM совместимой машине. Сегодня, Вы можете получить 100МГц ПК с 8МБ ОЗУ за $300. Вы можете поместить на той машине или FreeBSD или Linux и внезапно получить мощную рабочую станцию. Наоборот, за те же самые $300 можно купить 25МГц SPARCstation 1 с диском, монитором и клавиатурой в комплекте. Или возможно ELC с внешним диском и 16МБ ОЗУ. Дальше следует проблема программного обеспечения. Если Вы получите старый Sun, возможно, что Вы также получите SunOS 4.1.x. Если так, компилятор C (cc) будет в наличии. Однако, если Вы купите RS/6000 с AIX 4.1.x, то получите лучшую машину, но вынуждены будете найти компилятор C. Это, вероятно, повлечет за собой получение GCC из Internet. Как Вы могли бы предположить, компилятор C обязателен. Без него Вы не можете скомпилировать большинство утилит, распространяемых в пустоте. Это большое соображение и одна из причин, по которым Linux становится все более популярной.

ПРИМЕЧАНИЕ: Совместимость в действительности не проблема. Большинство хороших утилит написано под средой UNIX, и они могут быть легко перенесены на бесплатные UNIX платформы. Фактически, во многих случаях, двоичные образы для Linux и FreeBSD уже существуют (хотя я с готовностью признаю, что они более распространены для FreeBSD, поскольку ранние реализации Linux имели несколько эклектичное исходное дерево, которое вероятно более близко походило на AIX, чем на другие традиционные разновидности, подобно SunOS). Это также своего рода проблема культа. Пуристы обычно предпочитают BSD.

Я должен упомянуть, что профессиональные взломщики (те, кто берет деньги за свою работу) могут, вероятно, позволить себе любую систему. Вы можете держать пари, что силы в Американской разведке, исследующей кибервойну, используют чревычайно большие вычислительные мощности. Для этих личностей лицензирование и стоимость не проблема.

Sun

Довольно общее видеть взломщиков, использующих или SolarisX86 или SCO в качестве платформы. Это так, потому что даже притом, что эти программы лицензируемая продукция, они могут быть легко получены. Как правило, взломщики, использующие эти платформы, студенты. Они могут воспользоваться преимуществом огромных скидок, предлагаемых образовательным учреждениям и студентам вообще. Есть радикальное различие между ценой, оплаченной студентом и ценой, оплаченной средним человеком с улицы. Цена одного и того же продукта может отличаться сотнями долларов. И снова, так как эти операционные системы работают на архитектуре ПК, они все еще более экономные альтернативы. (SolarisX86 2.4 стала чрезвычайно популярной после того, как была добавлена поддержка для стандартных приводов IDE и устройств CD-ROM. До модификации 2.4 система поддерживала только приводы SCSI: слегка более дорогое решение.) И конечно, можно всегда заказать демонстрационные диски от Sun и просто сохранить дистрибутив, даже при том, что Вы нарушаете лицензию.

UNIX

Платформы UNIX популярны, потому что они обычно не требуют высокой производительности. Машина с Windows 95 и всеми надстройками требует много ОЗУ. Напротив, Вы можете выполнять Linux или FreeBSD на тормозных 386 и получать хорошую производительность (если, конечно, Вы не используете X). Это разумно, также, потому что утилиты, которые были написаны для использования в X среде, обычно имеют также интерфейс командной строки (например, Вы можете выполнять SATAN в CLI).

Microsoft

Платформа Microsoft поддерживает много легальных утилит безопасности, которые могут использоваться для нападения на удаленные узлы. Из того класса, все больше и больше взломщиков используют Windows NT. Она превосходит по быстродействию 95 и так же имеет продвинутые утилиты для организации сети. Также, Windows NT более серьезная платформа с точки зрения безопасность. Она также имеет управление доступом, так что взломщики могут безопасно предлагать удаленные службы своим приятелям. Если эти "друзья" войдут и попытаются разгромить систему, перед ними будут стоять тем же самые средства управления, как если бы они были на не дружественной к взломщикам машине.

Кроме того, NT становится более популярной, потому что взломщики знают, что они должны изучить эту платформу. Поскольку NT становится более популярной платформой для серверов Internet (и это будет расти, с недавними обязательствами между DEC и Microsoft), взломщики будут должны знать, как взламывать эти машины. Кроме того, профессионалы безопасности также будут разрабатывать утилиты, чтобы проверить внутреннюю безопасность NT. Таким образом, Вы увидите огромный рост использования NT как платформы для взлома.

ПРИМЕЧАНИЕ: Инструментальные средства Windows 95 появляются также быстро, что существенно изменит состояние взлома в Сети. Такие утилиты обычно "укажи и щелкни", и не требуют большого навыка со стороны оператора. Поскольку эти утилиты становятся более общими, Вы можете ожидать даже рост количества нарушений безопасности в Сети. Тем не менее, я не думаю, что 95 будет когда-либо основной платформой для серьезных взломщиков.

Происхождение Нападений

Годы назад многие нападения порождались в университетах, потому что у них был доступ к Internet. Большинством взломщиков была молодежь, которая не имела других простых средств доступа к Internet. Это естественно повлияло не только на происхождение нападения, но также и на время, в течение которого нападение происходило. Также, реальный TCP/IP не был доступен в те дни (по крайней мере не из удобства вашего дома, через учетную запись оболочки).

Сегодня ситуация полностью изменилась. Взломщики могут взламывать вашу сеть из своего дома, офиса, или транспортного средства. Однако, кое что осталось неизменным. Например, серьезные взломщики обычно не используют поставщиков типа America Online, Prodigy, или Microsoft Network. (Очевидные исключения, когда взломщики используют украденные номера кредитных карточек. В этих случаях AOL превосходный выбор.) One reason for this is that these providers will roll over a hacker or cracker to the authorities at the drop of a hat. Подозреваемый, возможно, даже не сделал ничего плохого (меньшие ISP могут просто удалить их). Как ни странно, большие поставщики позволяют спаммерам колотить Internet в значительной степени нежелательным рекламированием. Взгляните на рисунок. Любопытство хмурится, но холодный как лед меркантилизм в порядке.

Кроме того, эти поставщики не предлагают среду оболочки UNIX в дополнение к разнообразным PPP. Учетная запись оболочки может облегчить многие действия, которые иначе более трудно предпринять. Доступны служебные программы, которые могут обеспечить увеличенные функциональные возможности, включают различные оболочки, Perl, AWK, SED, C, C++ и массу системных команд (showmount одна из них; rusers другая).

Так что портрет типичного взломщика развивается: Это человек, который работает поздно вечером, вооруженный машиной с UNIX или NT и расширенными утилитами, и, по всей вероятности, использующий местного поставщика.

Каков Типичный Взломщик?

Типичный взломщик может, вероятно, быть описан, по крайней мере, тремя качествами в следующем списке:

Какова Типичная Цель?

Типичную цель трудно выявить, потому что взломщики нападают на различные типы сетей по различным причинам. Тем не менее, одна популярная цель это маленькая, частная сеть. Взломщики хорошо знают организационное поведение и финансовую действительность. Поскольку брандмауэры дорого приобретать и обслужить, маленькие сети, вероятно, не имеют их или имеют худшие продукты. Также, немного маленьких компаний назначают людей специально на анти-взламывающую должность (подумайте о Финском отчета, который я упомянул в Главе 4, "Кто Может Быть Взломан?"). Наконец, маленькие сети легче скомпрометировать, потому что они имеют следующие характеристики:

ПРИМЕЧАНИЕ: Захватить такую сеть обычно проще, и это означает иметь в ней машину. Взломщики относят к этому как иметь машину, или "Я взломал эту сеть, и теперь имею в ней машину". Иметь относится к условию, когда взломщик на машине имеет корневые привилегии, привилегии супервизора или администратора. Другими словами, взломщик имеет полный контроль над машиной, и в любое время может полностью повесить ее или иначе уничтожить сеть.

Этот список, однако, не застыл. Многие взломщики предпочитают работать с защищенной целью, чтобы узнать, могут ли они эксплуатировать недавно обнаруженную дыру прежде, чем сисадмин закроет ее. В этом случае взломщик, вероятно, взламывает для спорта.

Другая проблема знакомство. Большинство взломщиков глубоко знают две или больше операционных систем с точки зрения пользователя, но обычно только одну с точки зрения взлома. Другими словами, эти люди имеют тенденцию специализироваться. Немного взломщиков знают, как взломать несколько платформ. Например, возможно один индивидуум очень хорошо знает VAX/VMS, но немного знает о SunOS. Поэтому он будет нацеливаться на станции VAX и, в конечном счете, возможно через опыт, на DEC Alpha.

Университеты главные цели частично потому что они обладают экстремальной вычислительной мощностью. Например, университет был бы превосходным местом, чтобы выполнить обширную сессию взлома пароля. Работа может быть распределена более чем на несколько рабочих станций и таким образом может быть выполнена намного быстрее, чем локально. Другая причина того, что университеты основные цели, потому что университетские машины обычно имеют несколько сотен пользователей, даже в относительно маленьких сегментах сети. Администрирование сайтов большая и трудная задача. Есть большой шанс, что взломанная учетная запись может затеряться.

Другие популярные цели правительственные сайты. Здесь, Вы видите анархичный элемент проявления индивидуальности взломщика: желание смутить правительственные агентства. Такое нападение, если успешно, может принести взломщику большой престиж в пределах субкультуры. Не важно, если взломщик позже схвачен. Главное, что он взломал, возможно, защищенный сайт. Эти новости о навыке взломщика передаются взломщикам через Internet.

Почему Они Хотят Нападать?

Есть множество причин, почему взломщики могли бы хотеть напасть на вашу систему:

Все эти причины недостатки. Эти недостатки становятся избыточными, когда Вы нарушаете закон. С нарушением закона приходит некоторое чувство волнения. Это волнение может негативно повлиять на ваш рассудок.

О Нападениях

Когда Вы можете говорить, что пострадали от сетевого нападения? Некоторые упорно утверждают, что это момент, когда взломщики или проникли в вашу сеть или временно отключили любую ее часть. Конечно, с юридической точки зрения, можно отметить событие, названное нападением, таким образом (хотя, в некоторых юрисдикциях, намерения, а не успешного завершения действия будет достаточно).

Хотя юридическое определение нападения говорит, что оно произошло только после того, как действие закончено, и взломщик находится внутри, мое мнение, что простое совершение действий, которые приведут к нарушению работы сети, составляет нападение. Вы находитесь под нападением, как я это представляю, когда взломщик начинает работать над целевой машиной.

Проблема такой позиции в том, что иногда, частично из сложности и частично из возможности, взломщик тратит некоторое время, чтобы фактически осуществить нападение. Например, ряд рыбацких экспедиций могут проходить в течение недель. Эти зондирования сами по себе не разумно называть нападениями, потому что они не происходят последовательно. Если взломщик знает, что регистрация работает, он может выбрать подход "медленный теплоход в Китай". Уровень паранойи у системных администраторов различен. Это не то качество, которое взломщик может точно измерить не предприняв некоторого действия (возможно произведя ложное нападение с временного адреса и ожидая ответа, последствия, или деятельности от сисадмина). Однако большинство системных администраторов не выходят из себя при единственной команде из пустоты, если эта команда не является очевидным нападением.

Пример очевидного нападения, когда log-файл показывает, что была попытка эксплуатировать старой sendmail. Это когда взломщик выдает две или три командных строки к порту 25. Эти команды неизменно пытаются обмануть сервер, чтобы отправить взломщику по почте копию файла /etc/passwd. Если системный администратор увидит это, он будет очевидно обеспокоен. Однако, запрос showmount полностью отличается от этого. Системный администратор может хорошо знать, что запрос showmount зловещий признак, но он не может бесспорно классифицироваться, как попытка вторжения. Фактически, это не более чем доказательство того, что кто-то обдумывает вторжение.

Такие методы постепенного получения информации о системе имеют свои преимущества и недостатки. Например, взломщик может приходить с различных адресов и в разное время, спокойно бить по дверям (и проверять окна) в сети. Ограниченная регистрация несопоставимых адресов не может встревожить среднего системного администратора. Напротив, строгий подход (тяжелое сканирование) немедленно предупредит сисадмина о проблеме. Если взломщик достаточно уверен, что эксплуатируемая дыра существует на машине, он не будет проводить тотальное сканирующее нападение (по крайней мере, если он умен).

Если Вы пока новичок в безопасности, поведение взломщиков будет важным элементом вашего образования. Этим элементом нельзя пренебрегать. Технари в безопасности обычно преуменьшают его значение, потому что они глубоко презирают взломщика. Тем не менее, даже притом, что сайты используют сложную технологию безопасности, взломщики продолжают нарушать ее даже на солидных серверах.

Большинство взломщиков не гении. Они часто реализуют методы, которые испытаны и хорошо известны в сообществе безопасности. Если взломщик не пишет свои собственные утилиты, он должен положиться на доступные, существующие утилиты. Каждая утилита имеет ограничения, специфичные только для нее. Таким образом, с точки зрения жертвы, все нападения, использующие такие утилиты, будут выглядеть в основном одинаково. Нападения взломщиков, использующих strobe, будут, вероятно, выглядеть идентичными, пока целевая машина, скажем, это SPARC с SunOS 4.1.3. Знание этих сигнатур важная часть вашего образования в безопасности. Однако изучение поведения имеет более глубокий смысл.

Большинство взломщиков узнают методику (по крайней мере основы) от тех, кто реализовал ее перед ними. Хотя есть и пионеры (Kevin Mitnik один из них), но большинство взломщиков просто следуют за своими предшественниками. Эти методы были широко описаны в онлайновых документах, написанных взломщиками, и такие документы доступны в тысячах местах в Internet. В них содержатся чрезвычайно детальные примеры того, как осуществить конкретный класс нападения.

Новый взломщик типично следует этим командам буквально, часто вредя самому себе, потому что некоторые методы нападения полностью устарели (с тех пор были изобретены новые решения, и взломщик, не использующий их, тратит впустую своё собственное время). Если Вы исследуете такое нападение в ваших log-файлах, оно может выглядеть почти идентично выборке log-файлов, зарегистрированных профессионалами безопасности в различных технических презентациях, предназначенных для цели проиллюстрировать примеры взлома.

СОВЕТ: Вы можете создавать сценарии, которые извлекут такие нападения из log-файлов. Эти сценарии в действительности ничто иное, как мощные поиски с регулярными выражениями (Perl наиболее подходящ для этого), которые сканируют log файлы на строки, что обычно появляются в течение или после такого нападения. Эти результирующие строки обычно только слегка различаются от платформы к платформе. Ключом является, если Вы не нашли таких строк. Как только Вы знаете конструкцию вывода, то будете знать, для чего сканировать. Аналогично, применяйте некоторые из утилит, на которые я ссылаюсь раньше в этой главе. Эти утилиты предназначены для массового сканирования больших log файлов.

Однако, наступает момент, когда взломщик начинает разрабатывать специализированные методы осуществления нападений. Некоторые из этих методов появляются в результате привычки, другие появляются, потому что взломщик понимает, что утилита может использоваться для большего, чем просто для его специальной цели. Эти типы нападений, названные гибридным нападением, то, когда совместно используются один или более методов, чтобы произвести законченное нападение. (Пример, данный в предыдущих параграфах, когда очевидное нападение отказ в обслуживании это фактически одна стадия нападения обманом.) Невероятно, но могут иметься взломщики, которые все еще используют традиционные покомандные методы, когда Вы будете видеть все типы интересных log сообщений.

В любом случае, изучение поведения взломщиков в фактических ситуациях взлома поучительно. Такого сорта документы есть в Internet, и Вы должны получить по крайней мере два или три из них. Одни из наиболее экстраординарных документов этого класса был написан Bill Cheswick, AT&T Bell Laboratories. Cheswick начинает этот классический документ следующим образом:

7 января 1991 взломщик, веря, что обнаружил известную дыру DEBUG sendmail в нашей шлюзовой Internet машине, попытался получить копию нашего файла паролей. Я послал ему его.

Cheswick отправил файл паролей и разрешил взломщику войти в защищенную среду. Там за взломщиком наблюдали, поскольку он пробовал различные методы для получения усиленного доступа и в конечном счете, удаления всех файлов. Было очевидно, что нападение имело начало из Университете Stanford, но позже было определено, что взломщик работает из Нидерландов. В то время такая деятельность не являлась незаконной в Нидерландах. Поэтому, хотя запросы были в конечном счете прослежены и личность взломщика установлена, он был по сообщениям недосягаем. Во всяком случае, взломщик перешел к ряду неуклюжих попыток взламать определенную машину. История, к которой имеет отношение Cheswick, истинно очаровательна. Cheswick и его коллеги создали специальную защищенную (chroot) среду, в которой взломщик был свободен взламывать как ему нравилось. Таким образом, взломщика можно было наблюдать очень близко. Документ содержит много log-файлов и должен быть прочитан.

Ссылка: Найдите "An Evening With Berferd In Which a Cracker is Lured, Endured and Studied" ("Вечер с Berferd, Когда Взломщик Соблазняется, Удерживается и Изучается") от Cheswick в онлайне на
ftp://research.att.com/dist/internet_security/berferd.ps.

ПРИМЕЧАНИЕ: Tsutomu Shimomura и Weitse Venema были также вовлечены в этот случай, который охватил довольно большой период времени. Shimomura по сообщениям помогал в захвате сетевого трафика, в то время как Venema контролировал взломщика (и его партнеров) в Нидерландах. Также, Cheswick сообщает, что Steve Bellovin создал пустую машину, которую они намеревались использовать для таких случаев. Они рассуждали, что такая машина обеспечит лучшую среду для наблюдения взломщика в работе, потому что машина могла фактически быть скомпрометирована на корневом уровне (и возможно даже могла быть разрушена файловая система). Они просто расположили машину в сегменте сети, на котором также мог быть установлен перехватчик. Таким образом, если взломщик разрушил файловую систему временной машины, они могли бы все еще иметь log-файлы. Это истинно важный документ. Он юмористичен, интересен и чрезвычайно поучителен.

ПРИМЕЧАНИЕ: Как это случается, Steve Bellovin поддерживал машину-приманку, которая позже станет моделью для других подобных машин. В упомянутом документе есть обширное обсуждение того, как создать тюрьму подобную той, которую люди из Bell Labs использовали для Berferd.

Существуют и другие подобные сообщения. Особенно едким было написано Tsutomu Shimomura, который имел взломщика очень похожего на Berferd, упомянутого выше. Индивидуум утверждал, что был из Фронта Освобождения Mitnik (Mitnik Liberation Front) (название этой так называемой организации говорит все). В любом случае, этот индивидуум "поставил под угрозу" машину-приманку, подобную той, которую, по сообщениям, создал Bellovin. Комментарий Shimomura'ы чередуется неудавшимися попытками взломщика хоть что ни будь сделать. Имеются log-файлы сессий. Их было бы интересно изучить.

Ссылка: Документ Shimomura'ы расположен в онлайне на
http://www.takedown.com/evidence/anklebiters/mlf/index.html.

Другой увлекательный отчет был написан Leendert van Dorn, из Университета Vrije в Нидерландах. Он озаглавлен "Взлом Компьютеров: Социологическое исследование" ("Computer Break-ins: A Case Study") (21 января, 1993). Документ адресует различные типы нападений. Эти методы были взяты с фактических нападений, направленных против Университета Vrije. Некоторые из нападений были весьма искушенные.

Ссылка: Найдите отчёт van Dorn'в в онлайне на
http://www.alw.nih.gov/Security/FIRST/papers/general/holland.ps.

Возможно лучше известен документ "Security Breaches: Five Recent Incidents at Columbia University" ("Нарушения Безопасности: Пять Недавних Инцидентов в Университете Колумбии"). Поскольку я анализировал этот документ в другом месте, то воздержись от этого здесь. Однако, он превосходен для изучения (всего приблизительно 23 страницы), и проливает существенный свет на поведении взломщиков, осуществляющих нападения.

Ссылка: "Security Breaches: Five Recent Incidents at Columbia University" может быть найден в онлайне на
http://www.alw.nih.gov/Security/FIRST/papers/general/fuat.ps.

Gordon R. Meyer написал очень интересный документ озаглавленная "The Social Organization of the Computer Underground" ("Социальная Организация Компьютерного Подполья") как диссертацию в Северном Университете Штата Иллинойс. В нем Meyer анализировал компьютерное подполье с социологической точки зрения и собрал некоторую просветительскую информацию. Документ, хотя и устарел, содержит выборки и радио и теле интервью, зарегистрированных сообщений, журналов, и других публикаций. Хотя документ Meyer не показывает определенные методы работы в той же подробности как документы, упомянутые ранее, он описывает (со значительной подробностью и ясностью) социальные аспекты взлома и взломщиков.

Ссылка: Документ Meyer'а, написанный в августе 1989, расположен в онлайне на
http://www.alw.nih.gov/Security/FIRST/papers/general/hacker.txt.

Индексы Уровня Взлома от Samas

Рисунок 26.1 показывает шесть уровней, каждый представляет один уровень глубины вашей сети. Я буду относить к ним как к уровням чувствительности. Точки на уровнях идентифицируют риски, связанные с каждой методикой взлома. Я буду относить к ним как к состояниям нападения.

Индексы уровня взлома Sams
Рисунок 26.1.
Идексы уровня взлома Sams.

Уровни Чувствительности

Уровни чувствительности во всех сетях в значительной степени одинаковы (исключая безопасные сетевые операционные системы). Общие риски могут быть суммированы в списке, который в основном не изменился в течение десятилетия. Список редко изменяется, кроме как введением новых технологий, типа ActiveX, которые позволяют произвольное выполнение двоичных образов по Сети.

Большинство взломщиков извлекают выгоду из дыры, о которой мы слышим относительно ежедневно в группах новостей безопасности. Если Вы часто посещали эти группы (или список рассылки по безопасности) то будете читать о низ тысячу раз:

Первый Уровень

Нападения, классифируемые в категории первого уровня в основном несущественны. Нападения первого уровня включают нападения отказ в обслуживании и почтовую бомбардировку. В лучшем случае эти методы потребуют 30 минут вашего времени для исправления. Это так, потому что эти нападения учреждаются со специальной целью принести неприятности. В большинстве случаев Вы можете остановить эти проблемы, применяя исключающую схему, как обсуждалось в Консультации по Компьютерной Безопасности 95-13 (SATAN Корректировки), выпущенную Университетом в Пицбурге:

Нападения отказ в обслуживании возможны всегда: лучший способ иметь дело с этим состоит в том, чтобы реагировать на вторжения, добавляя узлы/сети источников злоумышленников в DENY (ОТРИЦАЮЩИЕ) распечатки в inetd.sec. Нет никакого действенного способа избежать нападения без того, чтобы отключить организацию сети в целом.
СОВЕТ: Если Вы раскрываете доказательство нападения отказ в обслуживании, то должны смотреть в другом месте в системе для возможных вторжений. Наводнение и нападения отказ в обслуживании часто предшественники (или даже составные части) нападения обманом. Если Вы видите исчерпывающее наводнение данного порта на одной машине, принимаете во внимание порт и что он делает. Исследуйте то, какая служба связана с ним. Если это служба неотъемлемая часть вашей внутренней системы, где другие машины используют её, и связь полагается на аутентификацию адреса, будьте осторожным. Что напоминает нападение отказ в обслуживании, может фактически быть началом нарушения сетевой безопасности, хотя обычно, нападения отказ в обслуживании, которые длятся в течение длинных периодов времени, только то чем они являются: неприятности.

Есть некоторые случаи, в которых нападение отказ в обслуживании может быть более серьезным. Несомненно, неясные конфигурации вашей сети могут способствовать большему количеству угрожающих состояний. Christopher Klaus из Internet Security Systems (Систем Безопасности Internet) определил несколько таких конфигураций в сообщении относительно нападений отказ в обслуживании. В этом сообщение Klaus писал:

При посылке UDP пакета с неправильной информацией в заголовке некоторые Sun-OS 4.1.3 и UNIX машины будут охвачены паникой и затем перезагружены. Это проблема часто встречается на многих брандмауэрах, которые находятся сверху машины Sun-OS. Это может быть высоким риском для уязвимости, если ваш брандмауэр выбывать из строя.

Klaus в этом сообщении также адресовал другие нападения отказ в обслуживании. Я рекомендовал бы просмотреть их. Klaus обычно предоставляет информацию по уязвимостям для NT, Novell, Linux и UNIX.

Ссылка: Сообщение Klaus'а может быть найдено в онлайне на
http://vger.alaska.net/mail/bos/msg00002.html.

Если нападение это syn_flood, есть некоторые меры, которые Вы можете предпринять, чтобы идентифицировать взламывающую сторону. В настоящее время в Internet плавают четыре главных syn_flooding утилиты. По крайней мере две из этих утилиты имеют в себе фундаментальный недостаток, который показывает личность нападавшего, хотя бы и косвенно. Эти утилиты имеют в себе условия для ряда PING команд. Эти PING команды несут с собой IP адрес машины, которая издаёт их. Поэтому, если взломщик использует одну из этих двух утилит, он телеграфирует свой IP адрес Вам при каждом PING. Хотя это не даст Вам адрес электронной почты стороны, Вы можете, посредствам методов описанных ранее в этой книге, проследить его до окончательного источника. (Как отмечено, traceroute покажет фактическую сеть, из которой исходит взломщик. Это обычно секундное дело, отследить в обратном направлении traceroute.) Проблема с этим, однако, состоит в том, что Вы должны вести достаточно усиленную регистрацию, чтобы захватить весь трафик между Вами и взламывающей стороной. Чтобы найти IP адрес, Вы будете должен порыться для этого. Во всяком случае, Вы имеете 50 процентный шанс, что взломщик используюет такую испорченную утилиту.

ПРИМЕЧАНИЕ: Оставшиеся две утилиты для syn_flooding не имеют PING недостатка. Разработчики этих утилит были немного более образованы. Они добавили условие, чтобы случайно получать предполагаемый IP адрес. Это естественно представляет намного более трудную ситуацию жертве. Даже низкоуровневый анализ полученных пакетов трата времени. Однако, неопытному системному администратору это может немного запутывающим. Хитро, правда?

Большинство нападений отказ в обслуживании представляют относительно низкоуровневый риск. Даже те нападения, которые могут привести к перезагрузке ("по использованию" процессора) только временные проблемы. Эти типы нападений значительно отличаются от нападений, где кто-то получает управление вашей сетью. Единственная истинно раздражающая вещь относительно нападений отказ в обслуживании, наряду с тем, что они являются низкоуровневыми рисками, они также несут возможности высокого уровня. Взломщику, осуществляющий нападения отказ в обслуживании нужно только очень ограниченный опыт и экспертные знания. Эти нападения поэтому общие, хотя не столь же общие как почтовые бомбардировки.

Что касается почтовых бомбардировок, преступники обычно легко прослеживаются. Кроме того, файлы личности (файлы для уничтожения) и исключающие схемы в основном делают эти нападения крайне безопасными (они, в конечном счете, приносят больше неприятностей самому преступнику, чем кому бы то ни было). Единственное реальное исключение в том, что бомбежка настолько стойкая и в таком объеме, что наносит вред почтовому серверу.

Другие вторжения первого уровня состоят из knuckleheads, инициализирующего сессии Telnet к вашему почтовому или новостному серверу, пробуя установить разделенные каталоги и whatnot. Пока Вы должным образом защитили вашу сеть, эти действия безопасны. Если Вы не должным образом конфигурировали доли, или если Вы выполняете r службы (или другие вещи, которые хотите), часть этих разнообразных методов первого уровня могут расшириться в реальную неприятность.

Уровни с Трутьего по Второй

Уровни два и три включают вещи подобно локальным пользователям, получающим доступ на чтение или запись файлов (или каталогов) к каким они не должны. Это может быть проблемой, зависящей в значительной степени от характера файла(ов). Конечно, любой случай, когда локальный пользователь может обращаться к /tmp, может быть критическим. Это может потенциально прокладывать тропу к проблемам третьего уровня (следующий этап), где пользователь может очевидно получить доступ также для записи (и таким образом продвигаться к среде четвертого уровня). Это проблема прежде всего для администраторов UNIX или NT.

ПРИМЕЧАНИЕ: Microsoft Windows 95 не имеет детального управления доступом и поэтому, без инсталляции некоторого устройства контроля доступа от третьего лица, сети Windows 95 полностью небезопасны. Из-за этого, нападения второго уровня критические и могут легко и мгновенно прогрессировать к уровням три, четыре, пять, и шесть. Если Вы выполняете такую сеть, немедленно получите устройство контроля доступа некоторого вида. Если Вы не сделаете этого, любой (в любое время) может удалять один или больше критических файлов. Много программ в среде Windows 95 полагаются на файловые зависимости. Пока Вы выполняете сеть Windows 95, связанную с Internet (без управления доступом или закрытия дыр в Internet Explorer), это только вопрос того, как долго прежде чем кто-то покалечит вашу сеть. Удалив только несколько файлов в сети Windows 95, взломщик может вывести из строя систему. Если Вы можете сделать так, контролируйте весь трафик к портам 137-139, где происходит процесс совместного использования. Кроме того, я был бы строг и запретил пользователям в пределах этой сети устанавливать FTP или Web сервера. Если Вы выполняете платформу Microsoft и хотите сделать серверы открытыми для внешнего мира (идея, против которой я неистово привел доводы), возьмите NT.

Локальные нападения немного различны. Термин локальный пользователь я понимаю относительно. В сетях локальный пользователь относится к буквально любому в настоящее время зарегистрированному на любой машине в пределах сети. Возможно лучший способ определить его состоит в том, чтобы сказать, что локальный пользователь любой, кто имеет пароль на машине в пределах вашей локальной сети и поэтому имеет каталог на одном из ваших приводов (независимо какой цели служит этот каталог: Web сайт, локальный жесткий диск на одной из рабочих станций и т.д.).

Угроза от локальных пользователей коррелирует непосредственно с типом сети, которую Вы поддерживаете. Если Вы ISP, ваши локальные пользователи могут быть любыми; Вы вероятно никогда не встречались или не говорили с 90 процентом ваших локальных пользователей. Пока их кредитные карточки не пусты каждый месяц, Вы вероятно имеете мало контактов с этими людьми даже по электронной почте (запрет распределенного ежемесячного доступа; это взаимодействие действительно не рассчитывает как контакт, хотя). Нет никакой причины предполагать, что эти безликие люди не взломщики. Каждый из вашего непосредственного штата должен быть подозреваемым.

Нападение, инициализированное локальным пользователем может быть или патетическим или чрезвычайно сложным. Однако, независимо от того, какой уровень экспертных знаний позади этих нападений, они почти неизменно происходят по Telnet. Я указал, прежде, что, если Вы ISP, превосходная идея изолировать все учетные записи оболочки на одной машине. То есть входы в систему должны быть только приняты на одной или более машинах, которые Вы распределили для доступа к оболочке. Это делает намного проще управление log-файлами, управление доступом, неопределенными протоколами, и другими потенциальными проблемами защиты.

СОВЕТ: В общих чертах, Вы должны также выделять любые системные машины, на которые собираются помещать разработанные пользователем CGI.

Эти машины должны быть блокированы в их собственный сетевой сегмент. То есть они должны быть окружены или маршрутизаторами или концентраторами, в зависимости от того, как ваша сеть сконфигурирована. Топология должна гарантировать, что причудливые формы фальсификации аппаратного адреса не могут выйти за конкретный сегмент. Это поднимает некоторые проблемы доверия, вопрос, который я адресую позже в этой книге.

Имеются только два вида нападения, с которым Вы столкнетесь. Менее серьезный бродячий пользователь, взломщик, который плохо знаком с темой и поэтому просто смотрит вокруг (о, они могли бы распечатать файл passwd на SDTOUT, смотрите могут ли они читать любые привилегированные файлы, и whatnot). Наоборот, Вы можете столкнуться с организованным и хорошо продуманным нападением. Это когда нападавший уже хорошо знает вашу системную конфигурацию. Возможно он предварительно оценил ее на учетной записи с другим поставщиком (если ваша система отдает информацию на внешнюю сторону, это определенная возможность).

Для использующих среды с возможностью управления доступом, имеются два ключевых вопроса относительно разрешений. Каждый может повлиять переходит ли проблема второго уровня в уровни три, четыре, или пять. Вот эти факторы

Первая сопряженность признаков возникает, когда Вы должным образом не понимаете схему разрешений. Это не преступление. Я признаю (хотя немногие допускают это), что не каждый системный администратор UNIX или NT является гуру. Требуется время, чтобы приобрести глубокое знание системы. Только, потому что Вы заработали B.S. в CS не подразумевает, что Вы будете знать наверняка, что ваша система безопасна. Имеются утилиты для проверки общих неправильных конфигураций, и я предлагаю довольно много их повсюду этой книги. Если Вы имеете даже самое небольшое подозрение, что разрешения могут быть установлены неточно, получите эти утилиты и сделайте перепроверку.

СОВЕТ: Много утилит безопасности идут со справочными документами относительно уязвимостей. SATAN прекрасный пример. Справочные документы, включенные в SATAN имеют существенное значение и могут использоваться, чтобы понять многие слабости в системе, даже если Вы не выполняете UNIX. Например, предположим, что Вы журналист и хотите получить лучшее понимание безопасности UNIX. Вы не нуждаетесь в UNIX, чтобы прочитать справочные документы, включенные в SATAN.

Вторая сопряженность признаков более общая, чем Вы думаете. Фактически, они растут все время. Например, согласно CERT консультации озаглавленной "Vulnerability in IRIX csetup" ("Уязвимость в IRIX csetup") (выпущенной в январе, 1997):

Координационный Центр CERT получил информацию об уязвимости в программе csetup под IRIX версий 5.x, 6.0, 6.0.1, 6.1 и 6.2. csetup не доступна под IRIX 6.3 и 6.4. Эксплуатируя эту уязвимость локальные пользователи могут в системе создавать или перезаписывать произвольные файлы. С этим влиянием они могут в конечном счете получить корневые привилегии.
Ссылка: Найдите эту консультацию в онлайне на
http://www.fokus.gmd.de/vst/Security/cert/0073.html.

Хорошенько просмотрите эту консультацию. Обратите внимание на дату. Она не какая-то древняя консультация 1980-ых. Она появилось очень недавно. Такие типы проблем не исключительны для любой компании. Дыры обычно находятся в программах в любой операционной системе, как отмечено в консультации CERT озаглавленной "Vulnerability in Solaris admintool" ("Уязвимость в Solaris admintool") (август, 1996):

AUSCERT получил отчет об уязвимости в дистрибутиве Solaris Sun Microsystems 2.x, включающем программу admintool. Эта программа используется, чтобы обеспечить графический интерфейс пользователя к многочисленным задачам системного администрирования. Эта уязвимость может позволить локальному пользователю получить корневые привилегии ... В Solaris 2.5, admintool по умолчанию устанавливает идентификатор пользователя в корень. То есть все доступы к файлу выполнены с эффективным универсальным идентификатором корня. Эффект этого в том, что уязвимость позволяет доступ к любому файлу в системе. Если уязвимость эксплуатируется, чтобы создать файл, который уже существует, содержание этого файла будет удалено. Если файл не существует, он будет создан с корневым монопольным использованием и всеобщей перезаписью.
Ссылка: Найдите эту консультацию в онлайне на
http://www.fokus.gmd.de/vst/Security/cert/0050.html.

Нет разницы какую разновидность операционки Вы выполняете. Ошибки регистрируются почти для всех операционных систем. Большинство сетевых систем имеют по крайней мере одну консультацию в месяц этого характера (под этого характера, я подразумеваю то, что может привести к усиленному или даже корневому доступу). Нет никакого немедленного решения этой проблемы, потому что большинство этих дыр не очевидны во время выпуска программного обеспечения. Единственное решение состоит в том, что Вы подпишетесь на каждый список рассылки, относящийся к ошибкам, дырам и вашей системе. В этом отношении, безопасность бесконечный процесс обучения.

Есть некоторые методы, которые Вы можете использовать, чтобы не отставать от времен. Первое, если Вы подпишетесь на несколько списков рассылки, то будете прикованы к электронной почте. Некоторые списки генерируют целых 50 сообщений в день. На платформах UNIX это не большая проблема, потому что Вы можете управлять тем, как эти сообщения пишется на диск в их время прибытия (беря входящий адрес и переадресовывая почту в конкретный каталог и т.д.). Однако среде Microsoft Windows такой объем почты может быть подавляющим для того, кто занят другими задачами. Если Вы системный администратор сети, выполняющей NT, имеются несколько действий, которые можно предпринять. Во-первых необходимо направить различные списки на различные учетные записи. Это делает управление входящей почтой немного проще (на рынке также имеются продукты для такой работы). Тем не менее, независимо от того, какую платформу Вы используете, необходимо создать сценарии, чтобы анализировать почтовые сообщения прежде, чем читать. Я установил бы Perl (который является также доступным для NT) и использовал его, чтобы сканировать сообщения на строки, которые вероятно должны появиться в сообщении, уместном вашей определенной конфигурации. С небольшим усилием, Вы можете даже создать сценарий, который оценивает их приоритет.

Четвертый Уровень

Проблемы четвертого уровня обычно имеют отношение к посторонним, являющимися способными обратиться к внутренним файлам. Этот доступ может варьироваться. Он может быть способен делать не больше, чем проверять существование некоторых файлов, или он может быть способным читать их. Проблемы четвертого уровня также включают те уязвимости посредством которых удаленные пользователи, без учетные записи, могут выполнять ограниченное число команд на вашем сервере.

Наибольший процент этих дыр возникает через неправильную конфигурацию вашего сервера, плохого CGI и проблем переполнения.

Уровни Пятый и Шестой

Уровни пять и шесть состоят из условий, посредством который позволяют произойти некоторым события, которых никогда не должно было быть. Дыры любого уровеня, пять или шесть, фатальны. На этих этапах удаленные пользователи могут читать, писать и выполнять файлы (обычно, они используют комбинацию методов, чтобы приняться за этот этап). К счастью, если Вы закрыли уровни два, три и четыре, почти невозможно, что Вы когда-либо увидите кризис уровеня пять или шесть. Если Вы закроете меньшие направления входа, шестой уровень уязвимости наиболее вероятно произойдет с дефектным программным обеспечением поставщика.

Уровни Ответов

Что Вы делаете, если обнаруживаете нападение прогрессирующим? Это зависит от ситуации.

Ответ на Нападения Первого Уровня

Нападения первого уровня могут быть обработаны как описано предварительно. Отфильтруйте входящий адрес и войдите в контакт с поставщиком услуг нападавшего. Это незначительные неудобства. Только, когда нападение отказ в обслуживании, как кажется, связано с некоторой другой формой нападения (возможно более сложной) или когда оно продолжается в течение некоторого времени (как в случае с Panix.com) Вы должны потрудиться сделать более чем исключение входящего трафика. Однако, если Вы находитесь в ситуации, идентичной Panix, то можете захотеть войти в контакт с CERT или другими уполномоченными.

Ответ на Нападения Второго Уровня

С нападениями второго уровня можно иметь дело внутренне. Нет никакой причины пропустить информацию, что локальные пользователи могут обращаться туда, куда им не положено. В основном необходимо заморозить или устранить учетную запись пользователя. Если имеются жалобы, позвольте вашим адвокатам сортировать их. Если Вы "рекомендуете" индивидууму, то будете видеть плохие результаты. В пределах месяца, он или она будет занят этим снова. Вы не учавствуюте в игре. Нет никакой гарантии, что этот внутренний пользователь является только невинным, любопытным индивидуумом. Один последний довод: не давайте никакого предупреждения, что замораживаете учетную запись. Так Вы можете сохранить любое доказательство, которое могло быть иначе удалено.

ПРИМЕЧАНИЕ: В случаях, когда Вы не можете удалить пользователя, полностью свободного (возможно, пользователь это служащий), то можете дать предупреждения и сделать случайную позиции пользователя на согласии. Тщательно документируйте инцидент, чтобы если дальнейшие проблемы происходят, пользователь не имеет никакого случая для неправомерного действия завершения.

Ответ на Нападение Третьего, Четвертого и Пятого Уровней

Если Вы испытываете любой тип нападения выше, чем уровень два, у Вас проблема. Ваше задание, тогда, предпринять несколько действий:

Вы имеете дело с преступником. Согласно государственным и федеральным законам, этот тип доступа преступление. Если Вы должны захватить этого преступника, то будете нуждаться в доказательстве. Получение этого доказательства займет некоторое времени.

Стандарты доказательства в уголовном деле Internet точно не согласованы. Конечно, простое действие кого-то пробующего получить ваш фал /etc/passwd через sendmail не будет составом уголовного дела. Ни доказательство также массы запросов showmount. Короче говоря, чтобы завести бронированное дело против злоумышленника, Вы должны иметь некоторое материальное доказательство, что злоумышленник был в вашей сети или, альтернативно, некоторое материальное доказательство, идентифицирующее злоумышленника как того, кто повесил ваш сервер нападением отказ в обслуживании. Чтобы сделать это, Вы должны вынести главный удар нападения (хотя Вы можете учредить приход охраны, чтобы проверить, что это не атаки вредят вашей сети).

Мой совет в такой ситуации необходимо вызвать не только правоохранительные органы, но также и по крайней мере одну квалифицированную фирму по безопасности, чтобы помочь в поимке обидчика. Наиболее важные возможности такой операции log-файлы и, конечно, расположение преступника. Вы можете обеспечить log-файлы, так как они ваша собственность. Однако Вы насколько далеко Вы можете отследить индивидуума? Вы могли бы запустить простую traceroute и, прежде, чем вы закончите, Вы, возможно, реализовали дюжину различных методов только, чтобы найти сеть, из которой преступник исходит, которая может быть также жертвой (то есть взломщик прыгает по островам), сайт жулика, или даже хуже, расположенный в стране вне досягаемости Американского Министерства Юстиции. В таких случаях, может быть сделано немного помимо поддержки вашей сети и продолжения вашего бизнеса. Взятие любого другого курса действия может быть очень дорогостоящим и в значительной степени тратой времени.

Итог

В этой главе Вы узнали о уровнях нападений. Эти уровни нападения определены в цифровой форме (первый уровень наименее вредный, шестой уровень наиболее вредный). Эта глава обсуждает, как бороться с нападениями различных уровней, и сообщает Вам о утилитах, которые Вы можете использовать, чтобы вести успешное сражение.

Ресурсы

UNIX Incident Guide How to Detect an Intrusion (Руководство Инцидентов UNIX, Как Обнаружить Вторжение).

Securing Internet Information Servers (Защищенные Информационные Серверы Internet). CIAC-2308.

Threat Assessment of Malicious Code and Human Computer Threats (Оценка Угрозы Злонамеренного Кода и Человеческих Компьютерных Угроз). L.E. Bassham и T.W. Polk. Национальный Институт Стандартов и Технологии. Отчет к U.S. Army Vulnerability/Survivability Study Team (Группе Изучения Уязвимости/Живучести армии США), NISTIR 4939. Октябрь, 1992.

Hackers in the Mist (Хакеры в Тумане). R. Blake. Северо-западный Университет, Независимое изучение в антропологии. 2 декабря, 1994.

Computer Break-ins: A Case Study (Компьютер Остановился: Социологическое Исследование). Leendert van Dorn. Универсисет Vrije. 21 января, 1993.

Concerning Hackers Who Break into Computer Systems (О Хакерах, Которые Врываются В Компьютерные Системы). Представлен на 13-ой Национальной Конференции Компьютерной безопасности, 1 октября, 1990.

Selling Security: Security Policies Are Key to a Strong Defense, But Top Management Must First Be Brought on Board (Продажа Безопасности: Политики Безопасности Ключевые к Сильной Защите, Но Высшее Управление Должно Сначала Быть Принесено на Борт). C. Waltner. InfoWorld.

The United States vs. Craig Neidorf: A Debate on Electronic Publishing Constitutional Rights and Hacking (Соединенные Штаты против Craig Neidorf: Дебаты по Электронным Издательским Конституционным Правам и Хаку). D.E. Denning. Communications of the ACM, Март, 1991.

An Evening With Berferd In Which a Cracker is Lured, Endured and Studied (Вечер с Berferd, в Котором Взломщик Соблазняется, Выносится и Изучается). B. Cheswick. AT&T Bell Labs.

Recombinant Culture: Crime in the Digital Network (Рекомбинируйте Культуру: Преступление в Цифровой Сети). C. E. A. Karnow. Представленный в Defcon II, июль 1994.

The Baudy World of the Byte Bandit: A Postmodernist Interpretation of the Computer Underground (Бодовый Мир Байтового Бандита: Постмодернистская Интерпретация Компьютерного Андеграунда). G. Meyer и J. Thomas. Кафедра Социологии, Северный Университет Штата Иллинойс. 5 марта, 1990.

Обнаружение Вторжения

An Introduction to Intrusion Detection (Введение в Обнаружение Вторжения). Aurobindo Sundaram.

Intrusion Detection for Network Infrastructures (Обнаружение Вторжения для Сетевых Инфраструктур). S. Cheung, K.N. Levitt и C. Ko. 1995 IEEE Симпозиум по Безопасности и Секретности, Окленд, CA, May 1995.

Fraud and Intrusion Detection in Financial Information Systems (Мошенничество и Обнаружение Вторжения в Финансовых Информационных Системах.). S. Stolfo, P. Chan, D. Wei, W. Lee и A. Prodromidis. 4-ый ACM Конференция Безопасности Компьютеров и Связи, 1997.

Detecting Unusual Program Behavior Using the Statistical Component of the Next-Generation Intrusion Detection Expert System (NIDES) (Обнаружение Необычного Поведения Программы, Использующего Статистический Компонент Следующего Поколения Экспертной Системы Обнаружения Вторжения (NIDES)). Debra Anderson, Teresa F. Lunt, Harold Javitz, Ann Tamaru и Alfonso Valdes. SRI-CSL-95-06, Май 1995. (Доступен только в твердой копии.)

Intrusion Detection Systems (IDS): A Survey of Existing Systems and A Proposed Distributed IDS Architecture (Системы Обнаружения Атак (IDS): Обзор Существующих Систем и Предложения Распространения Архитектуры IDS). S.R. Snapp, J. Brentano, G.V. Dias, T.L. Goan, T. Grance, L.T. Heberlein, C. Ho, K.N. Levitt, B. Mukherjee, D.L. Mansur, K.L. Pon, и S.E. Smaha. Технический отчет CSE-91-7, Отдел Информатики, Университет Калифорнии, Дэвис, февраль 1991.

A Methodology for Testing Intrusion Detection Systems (Методология Для Испытания Систем Обнаружения Атак). N. F. Puketza, K. Zhang, M. Chung, B. Mukherjee и R. A. Olsson. IEEE транзакции по Программному Инженерингу, Том.22, Но.10, Октябрь 1996.

GrIDS–A Graph-Based Intrusion Detection System for Large Networks (GrIDS–Основанная на Графах Система Обнаружения Атак для Больших Сетей). S. Staniford-Chen, S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, C. Wee, R. Yip и D. Zerkle. 19-ая Национальная Информационная Конференция по Безопасности Систем.

NetKuang–A Multi-Host Configuration Vulnerability Checker (NetKuang–Многоузловая Программа Проверки Уязвимости Конфигурации). D. Zerkle и K. Levitt, Слушания 6-ого Usenix Симпозиума Безопасности. Сан-Хосе, Калифорния. 1996.

Simulating Concurrent Intrusions for Testing Intrusion Detection Systems: Parallelizing Intrusions (Моделирование Параллельных Вторжений для Испытания Систем Обнаружения Атак: Распаралеленные Вторжения). M. Chung, N. Puketza, R.A. Olsson и B. Mukherjee. Слушания 1995 Национальной Информационной Конференции Безопасности Систем. Балтимор, Штат Мэриленд. 1995.

Holding Intruders Accountable on the Internet S. Staniford-Chen и L.T. Heberlein. Слушания 1995 Симпозиума IEEE по Безопасности и Секретности, Окленд, CA, 8-10 Мая 1995.

Machine Learning and Intrusion Detection: Current and Future Directions (Машина, Узнающая и Обнаруживающая Вторжения: Текущие и Будущие Направления). J. Frank. Слушания 17-ой Национальной Конференции Компьютерной безопасности, октябрь 1994.

Another Intrusion Detection Bibliography (Другая Библиография Обнаружения Вторжения).

Intrusion Detection Bibliography (Библиография Обнаружения Вторжения).

Bibliography on Intrusion Detection (Библиография Обнаружения Вторжений). Коллекция Библиографий Информатики.

Предыдущая главаСледующая главаСодержание


Macmillan Computer Publishing USA

Macmillan Computer Publishing.


Все мессаги сюда:yanich@inbox.ru
Hosted by uCoz