Максимальная Безопасность:
Руководство Хакера по Защите Вашего Internet Сайта и Сети
Посвящение
Эта книга посвящена Michelle, чьё присутствие сделало меня принцем среди мужчин.
Благодарности
Мои благодарности кратки. Сначала, я хотел бы поблагодарить людей в Sams, особенно Randi Roger, Scott Meyers, Mark Taber, Blake Hall, Eric Murray, Bob Correll и Kate Shoup. Без них, моя работа походила бы на запутанный, ужасный беспорядок. Они были беспощадной группой редакторов, и их экспертиза очень неординарна.
Затем, я выражаю мою самую глубокую благодарность Michael Michaleczko, Ron и Stacie Latreille. Эти личности предложили свою критику, без которой эта книга не могла быть написана.
Также, я хотел бы отметить существенный вклад, сделанный John David Sale, специалиста по сетевой безопасности из Van Nuys, Калифорния. Его вклад неоценим. Моя благодарность также распространяется на Peter Benson, Internet и EDI Консультанта из Santa Monica, Калифорния (кто, кстати, в настоящем является председателем ASC X12E). Терпение Peter'а было трудно понять. Кроме того, я посылаю специальную благодарность David Pennells и его весёлой банде программистов. Those cats run the most robust and reliable wire in the southwestern United States.
Об Авторе
Автор описывает себя как "UNIX голова пропеллер" и является преданным поклонником языка программирования Perl, Linux и FreeBSD.
После работы в течение четырёх лет системным администратором для двух фирм здравоохранения Калифорнии, автор открыл собственный бизнес по консультациям в безопасности. В настоящее время, он специализируется в испытании безопасности различных сетевых платформ (вторгаясь в компьютерные сети и затем раскрывая, какая дыра приводит к несанкционированному входу) включая, но не ограничиваясь Novell NetWare, Microsoft Windows NT, SunOS, Solaris, Linux и Microsoft Windows 95. Его самое последнее назначение должно было обезопасить межобластную сеть, протяжённостью от Лос-Анджелеса до Монреаля.
Теперь автор живёт спокойно в южной Калифорнии с Sun SPARCStation, IBM RS/6000, двумя Pentium, Macintosh, различными остатками MicroVAX и своей женой.
В конце 1980-ых, автор был обвинён в ряде финансовых преступлений после разработки методики по обходу безопасности банка в системах Автоматических Кассовых Машин. Поэтому он предпочитает оставаться анонимным.
Сообщите Нам, Что Вы Думаете!
Как читатель, Вы самый важный критик и комментатор наших книг. Мы оцениваем ваше мнение и хотим знать то, что мы делаем правильно, что мы могли бы делать лучше, чтобы вы хотели видеть опубликованным, и любые другие слова мудрости, которые вы желаете передать нам. Вы можете помочь нам делать сильные книги, которые удовлетворяю ваши потребности и дают Вам компьютерное руководство, которое Вам требуется.
Вы имеете доступ к Всемирной сети? Тогда посетите наш сайт на http://www.mcp.com.
ПРИМЕЧАНИЕ: Если у Вас есть технический вопрос по этой книге, позвоните по линии технической поддержки 317-581-3833 или пошлите письмо на suppor@mcp.com.
Как руководитель группы, которая создавала эту книгу, я приветствую ваши комментарии. Вы можете послать факс, электронное письмо, или написать мне непосредственно, чтобы сообщить то, что Вам понравилось или непонравилось в этой книге, а также то, что мы можем сделать, чтобы наши книги стали более сильными. Имеется информация:
Факс: 317-581-4669
E-mail:
Mark Taber
newtech_mgr@sams.mcp.com
Почта:
Mark Taber
Comments Department
Sams Publishing
201 W. 103rd Street
Indianapolis, IN 46290
Введение
Я хочу сказать несколько слов об этой книге и как ей нужно пользоваться. Эта книга не строго учебная, или "How To" книга. Её цель состоит в том, чтобы дать вам возможность начать образование в безопасности Internet. Также, она вероятно создана не так, как любая компьютерная книги, которую Вы когда-либо читали.
Хотя эта книга не может научить Вас всему, что Вы должны знать, однако ссылки, содержащиеся в этой книге, могут. Поэтому, если Вы знаете очень немного о безопасности Internet, Вы захотите максимизировать значение этой книги, твёрдо придерживаясь следующей процедуры:
Каждая глава (кроме первых, которые устанавливают этапы) содержит ссылки, которые могут указывать на книги, технические отчёты, или другие источники твёрдой, надёжной информации по содержанию (имеющие отношение к текущей теме). Эти ссылки находятся в полях, отмеченных XREF. Как только Вы сталкиваетесь с источником, остановитесь на мгновение, чтобы получить этот источник из Сети. После того, как Вы получите источник, прочитайте его, затем продолжите читать книгу. Выполняйте эти действия по всей книге всякий раз, когда это возможно. Если Вы делаете так, Вы закончите с очень прочным базовым образованием по безопасности в Internet.
Я создал эту книгу на такой манер, потому что безопасность в Internet это не статическое поле, она быстро изменяется. Тем не менее, имеются некоторые основы, которые каждый человек, заинтересовавшийся безопасностью должен знать. Эти основы не содержатся (в полной мере) в любой книге (возможно даже в большинстве из них). Информация расположена в Internet в форме документов, написанными людьми, которые проектировали и разрабатывали Internet или проектировали и разрабатывали её возможности защиты. Область их работы обширна, но каждый документ или технический отчёт, самое большее, 40 страниц в длину (большинство менее 10).
Те читатели, которые хотят только случайное образование по безопасности в Internet, могут читать книгу без поиска документов в Internet. Но если Вы ищете кое-что большее, кое-что более глубокое, Вы можете получить это, твёрдо придерживаясь этой процедуры.
Если Вы собираетесь использовать книгу как справочник способом, который я описал, имеются некоторые соглашения, которые Вы должны знать. Если ресурс, к которому Вы были направлены это утилита, загрузите её, даже если она не для вашей платформы. Соответствующей утилитой архивации (подобной Winzip), Вы можете извлечь документы, которые сопровождают дистрибутив этой утилиты. Такие документы часто содержат чрезвычайно ценную информацию. Например, известный теперь сканер, названный SATAN (сделанный под UNIX) содержит документы по безопасности в HTML. Они не требуют, чтобы Вы имели UNIX (фактически, всё, что они требуют это броузер). Аналогично, многие другие документы содержатся в PDF, TXT, DOC, PS и других форматах, которые могут быть прочитаны на любой платформе.
СОВЕТ: SATAN это отдельный случай. Некоторые из справочных документов находятся в HTML, но имеют расширение *.PL. Эти расширения используются, чтобы указать документы, которые написаны на Perl. Если Вы не имеете установленного Perl, преобразуйте эти документы в необработанный HTML. Чтобы сделать так, откройте их в текстовом редакторе и измените первую строку с (<< HTML) на <HTML>. Затем дайте файлу расширение *.HTM или *.HTML. После этого ваш броузер загрузит страницы правильно.
Также, обратите внимание, что многие из документов Internet, упомянутых в этой книге, доступны только в форме PostScript. PostScript это замечательный интерпретируемый язык, который рисует графику и текст. Он используется прежде всего в технических областях. Чтобы просматривать эти документы, Вам потребуется просмоторщик PostScript (или интерпретатор). Если Вы ещё не имеете Adobe Illustrator или какого нибудь другого пакета PostScript, имеются две основных утилиты:
- Rops
- Ghostscript/Ghostview
Обе свободно доступны для загрузки в Internet. Rops доступен здесь:
Ghostscript и Ghostview доступны здесь:
Я должен указать, что Rops является shareware, в то время как Ghostscript и Ghostview (дальше GS утилиты) бесплатны. Главные различия между этими двумя утилитами состоят в том, что Rops меньше, её проще и быстрее конфигурировать. Фактически, она, вероятно, одна из лучших shareware программ, которые я когда-либо видел; она невероятно мала для той работы, которую выполняет, и требует минимальных ресурсов памяти. Она была написана Roger Willcocks, инженером программистом из Лондона, Англия.
Напротив, GS утилиты медленнее, но поддерживают намного больше шрифтов и других тонкостей, с которыми Вы вероятно столкнётесь в PostScript документах, произведённых на других платформах. Другими словами, в документах, в декодировании которых Rops терпит неудачу, GS утилиты будут вероятно всё ещё работать. GS утилиты также имеют более большой допуск ошибок в PostScript документе. Если Вы никогда не использовали PostScript интерпретатор, имеются некоторые ситуации, с которыми Вы можете столкнуться, и которые покажутся запутанными. Одна такая ситуация состоит в том, что интерпретатор не может найти подтверждение нумерации страниц. Если Вы столкнётесь с этой проблемой, Вы сможете продвинуться в документе только вперёд (Вы не сможете возвратиться к странице 1 после того, как перешли к странице 2). В таких случаях, лучше распечатать документ.
Чтобы избежать этой проблемы, я целеустремлённо (и вручную) искал дополнительные форматы. То есть для каждого PostScript документа, с которым я столкнулся, я пробовал найти идентичный документ в PDF, TXT, DOC, WPG или HTML. В некоторых случаях я не мог найти документ в какой либо другой форме (в основном так было с ранними классическими изданиями по безопасности в Internet). В случаях, когда я успешно находил другой формат, я указывал его вместо PostScript версии. Я делал это, потому что большинство пользователей PC (за исключением пользователей Mac) обычно не имеют PostScript средств на своих машинах.
Затем я должен сказать немного о гиперссылках в этой книге. Каждая была проверена вручную. В некоторых местах я предложил ссылки на зарубежные издания, которые также доступны здесь в Соединённых Штатах. Это сделано так, потому что я пробовал выбирать наиболее надёжные ссылки из возможных. Надёжными ссылками я называю ссылки, наиболее легко получаемые в течение самого минимально возможного времени. Возможно Вы так не думаете, но некоторые заграничные ссылки намного быстрее. Также, в некоторых местах, я мог найти только проверенную ссылку на заграничный документ (проверенные ссылки означают, что, когда я проверял ссылку, требуемый элемент фактически существовал в запрашиваемом URL). Чтобы обеспечивать Вас максимальной производительностью, я попытался уменьшить возникновения инцидентов Объект Не Найден практически до нуля. Естественно, однако, сайты могут измениться. Сайты часто изменяют свою структуру, так что ожидайте, что несколько ссылок больше не будут существовать (даже при том, что больше всего были проверены за месяц или два перед печатью книги.)
Также, некоторые гипертекстовые пути отражены в их совокупности, означая что везде, где возможно, я извлёк общий адрес объекта, а не просто сервер, на котором он постоянно находится. В отношении загружаемых файлов ( обычно утилит), эти ссылки не будут переносить Вас к странице. Вместо этого, они инициализируют сессию загрузки на вашу машину, перенося файл непосредственно к Вам. Это сохранит выше время, но могло бы сначала запутать менее опытных пользователей. Не удивляйтесь, когда появится диалоговое окно, запрашивающее Вас сохранить файл.
где я указываю, обращайте внимание на то, на каком языке написана утилита или программа. Многие упомянутые утилиты требуют или компилятора или интерпретатора прежде, чем они могут быть сформированы и использоваться. Если Вы в настоящее время не имеете необходимого языка или интерпретатора (или если ваша платформа отличается от той, для которой утилита была разработана), вновь исследуйте ссылку. Если кажется, что дистрибутив содержит документов, ценных для Вас, Вы вероятно должны воздержаться от загрузки его. Кроме того, многие утилиты приходят только в форме исходного текста. Хотя я исследовал многие из исходных текстов самостоятельно, я не могу ручаться за их каждую строку. Если Вы намереваетесь загрузить исходный текст и скомпилировать его под вашу собственную архитектуру, знайте, что ни я ни Sams не несут ответственности за троянские программы или другой злонамеренный код, который может существовать в этих файлах. Большинство упомянутых файлов фактически из надёжных источников, и многие сопровождаются цифровыми сигнатурами, PGP ключами, или другими гарантиями подлинности и целостности. Однако, код, который находится на сайтах взломщика, может и не быть чистым. В таких случаях думайте сами.
ПРИМЕЧАНИЕ: Специальное примечание пользователям Windows и Mac: если Вы понятия не имеете о том, что я говорю, опасения нет. К тому времени, как вы дойдёте до Главы 6, "Краткое Введение в TCP/IP." я сделаю всё возможное, чтобы книга была легко читаемой и понятной для всех пользователей. Я предпринял большие усилия, чтобы объяснить различные термины и процедуры, встречающиеся в книге. Если Вы уже знаете определения, пропустите эти места. Если Вы их не знаете, тогда читайте тщательно.
Большинство упомянутых сайтов легко просматриваются любым броузером. Могут иметься несколько сайтов, которые используют обширные табличные структуры или поддерживают только графический интерфейс. Неподдерживающие это броузеры не могут могут просмотреть эти сайты. Тем не менее, имеется очень немного таких сайтов. Везде, где возможно, я попытался находить дополнительные страницы (которые поддерживают броузеры, неподдерживающие таблицы), так почти все страницы отображаются любым броузером. Однако, я не совершенен; мои усилия могут терпеть неудачу в некоторых случаях. Тогда я приношу извинения.
В отношении упомянутых сайтов, которые я считаю "очень хорошими", слова предостережения: Это только моё мнение. Я классифицирую сайты как "хорошие", если они передают информацию, которая технически обоснована или указывает Вам на другие ценные руководства. Но, если я говорю, что один сайт хорош и ничего не говорю относительно другого, я не подразумеваю, что другой сайт плох. Я подбирал каждый сайт, и каждый предлагает хорошую информацию по безопасности. Те, которые я выделяю как особенно хорошие, так отмечены обычно, потому что разработчик этого сайта сделал образцовую работу по представлению информации.
Относительно гиперссылок, я скажу следующее: в конце Приложения A, "Где Получить Больше Информации", я предлагаю непрокомментированный, пустой список гиперссылок. Это эквивалент огромного файла закладок. Имеется причина для этого, которую я обсуждаю подробно в этом Приложении, но я кратко охарактеризую её сейчас. Этот список (который также появится на CD-ROM) обеспечивается для серьёзных студентов по безопасности. Загружая этот список в персональный робот (например Clearweb), Вы можете формировать огромную библиотеку по безопасности на вашей локальной машине. Такие персональные роботы грабят страницы из списка, получая любые типы файлов, которые Вы определяете. Для компаний, которые имеют требуемое дисковое пространство и хотят создать библиотеку по безопасности, это может быть сделано автоматически. Большинство роботов клонируют удалённый сайт за несколько минут.
Однако знайте, что большинство предлагаемых ссылок ведут к страницам, которые содержат множество ссылок. Таким образом, если Вы запустите такой робот, лучше если бы у вас было требуемое дисковое пространство для вывода. Printed in their native form, all retrievable documents in that list (if retrieved with a robot that goes out one level for each link) would print a stack of paper approximately seven feet tall. Я знаю это, потому что я делал это. В Приложении A, я описываю процедуру, позволяющую сделать так. Если Вы решите получить и напечатать письменную и двоичную информацию со всех перечисленных сайтов, у Вас будет большинство информации по безопасности, доступной в Internet. В организациях, производящих серьёзное исследование безопасности, это могло бы иметь существенное значение, особенно, если все документы переформатированы к одному формату (Вы могли бы сделать специальную индексацию и т.д.).
Некоторые книги или другие документы, которые были упомянуты, недоступны интерактивно. Однако эти документы можно найти. Во всех случаях, я включил так много информации по ним, насколько это возможно. Иногда включены ISBN или ISSN, а иногда нет. ISBN были не всегда доступны. В этих случаях (которые являются по общему признанию редкими), я включил номер каталога Библиотеки Конгресса или другое, чтобы идентифицировать возможности, которые могут помочь Вам найти упомянутый материал автономно. Любые источники, которые не могли быть прослежены (или в Сети или в другом месте) были опущены в книге.
Кроме того, я сделал всё возможное, чтобы отдать должное людям, которые авторски или иначе сообщили информацию, которая имеет техническое значение. Это включает регистрацию в телеконференции Usenet, списки рассылок, Web страницы и другое. В почти всех случаях (за исключением списка продавцов, который находится в Приложении B, "Консультанты По Безопасности"), я опустил адреса электронной почты сторон. Правда, Вы можете получить эти адреса на различных сайтах, но я воздержался от печати их в этой книге. Я приложил все усилия, чтобы уважить приватность этих людей.
Список продавцов, который находится в Приложении B, не был взят из местной телефонной книги. В марте 1997, я выпустил бюллетень нескольким ключевым группам по безопасности с просьбой, чтобы продавцы внесли себя в список в этой книге. Люди (и компании), которые ответили, все являются квалифицированными продавцами и консультантами по безопасности. Эти продавцы предлагают программы защиты и услуги каждый день. Многие торгуют программами, которые были оценены для систем уровня защиты или других типичных безопасных сред. Они представляют маленькую часть всех продавцов. Если продавца нет в этом списке, это не означает, что он неквалифицированный; это просто означает, что продавец не хотел быть перечисленным в книге, написанной анонимным автором. Люди занимающиеся безопасностью естественно осторожны, и справедливо.
В заключении, я имею несколько советов. Приложение C, "Скрытое Сообщение Об Internet", указывает на блок зашифрованного текста, расположенного на CD-ROM. Использовалось кодирование Довольно Хорошая Секретность (PGP). Когда (или скорее, если) Вы расшифруете это, Вы найдёте инструкцию, которая показывает элемент Internet, который широко не понят. Однако, в пределах пяти лет, этот элемент станет более ясным даже среднему индивидууму. Имеются несколько вещей, которые Вы должны знать об этой зашифрованной инструкции.
Для начала, зашифрованный текст содержит только моё мнение. Это не мнение о Sams.net. Фактически, для гарантии того, что Sams.net не связана с этой инструкцией, я принял предосторожность отказавшись обеспечить служащих Sams.net частной фразой доступа. Поэтому, они не имеют абсолютно никакой идеи, какова инструкция. Также, я гарантирую Вам, что инструкция не содержит брань или любой другой материал, который можно было бы считать неподходящим для читателей любого возраста. Это довольно плоская, сухая инструкция, которая предупреждают об одном аспекте Internet, который все, включая специалистов по безопасности, пропускают. Этот аспект имеет критическое значение, не просто Американцам, но всем людям любой нации. В своей основе, инструкция является прогнозом.
Теперь небольшое примечание о том, как расшифровывать инструкцию. Сама инструкция вероятно неламаема, потому что я использовал наибольшую возможную степень кодирования. Однако, Вы можете определить фразу доступа через методы общие для шпионов. В Приложении C содержатся несколько строк чистого текста, состоящего из ряда символов, отделённых точками с запятой (точки с запятой это символ разделитель полей). После того, как Вы идентифицируете значение этих символов, Вам представятся некоторые интересные возможности. После испытания их всех, Вы в конечном счёте расколете эту инструкцию (значение чисто текстовых полей покажет фразу доступа). Если Вы умны, то расколите сообщение проще чем это выглядит (конечно, дикие и сумасшедшие символы в NSA не будут иметь никакой проблемы, пока люди, делающие их, не пьяны и не дети; это почти единственный ключ, который я дам). Общественный ключ для сообщения root@netherworld.net.
Если Вы расколите сообщение, Вы должны отправить его всем членам Конгресса. Для них, в большинстве своём незнакомых с Internet, сообщение в этом зашифрованном тексте имеет критическую важность.
Удачи.
Macmillan Computer Publishing.
Все мессаги сюда:yanich@inbox.ru |
