Защита информации в Интернет


Уязвимость WINDOWS NT


Уязвимость WINDOWS NT
Уязвимость WINDOWS NT Согласно маркетинговым данным, операционная система компании Microsoft Windows NT занимает значительную долю рынка сетевых операционных систем как в государственном, так и в...
Удаленное управление и потайные ходы
Удаленное управление и потайные ходы Мы не раз отмечали, что в системе NT недостаточно хорошо обстоят дела с удаленным выполнением команд, однако до этого момента картина освещалась несколько одн...
Удаленный доступ к командной оболочке с помощью netcat
Удаленный доступ к командной оболочке с помощью netcatЕще одним простым способом организации "потайного хода" является применение "армейского швейцарского ножа TCP/IP"— утилиты...
NetBus
NetBusНевозможно, рассказывая о безопасности NT, умолчать о NetBus — "старшей сестре" широко известной утилиты Back Orifice (ВО) для Win 9x, разработанной группой хакеров "Культ мер...
Back Orifice 2000
Back Orifice 2000Хотя первая версия Back Orifice не работала в системе NT, всего за год ее программисты из группы хакеров "Культ мертвой коровы" (Cult of the Dead Cow) справились с задач...
Контрмеры защита от Back Orifice 2000
Контрмеры: защита от Back Orifice 2000Как и в случае с NetBus, большинство ведущих разработчиков антивирусного программного обеспечения обновили свои программные продукты, так что теперь с их помо...
Удаленная атака на GUI системы NT с помощью WinVNC
Удаленная атака на GUI системы NT с помощью WinVNCУдаленное управление с помощью утилит командной строки — это хорошо, но все же NT является операционной системой с мощным графическим интерфейсом....
Остановка и удаление WinVNC
Остановка и удаление WinVNC Самый простой способ остановки службы WinVNC и ее удаления состоит в использовании двух следующих команд. net stop winvncwinvnc -remove Для удаления оставшихся в реестр...
Перенаправление портов
Перенаправление портов Выше было рассмотрено несколько программ, которые можно использовать для удаленного управления из командной строки. Все эти средства обсуждались в контексте установки непос...
Захват командной оболочки м помощью netcat
Захват командной оболочки м помощью netcatЕсли имеется возможность поместить утилиту netcat на целевой компьютер, расположенный позади брандмауэра, то через любой требуемый порт можно получить &qu...
Используя утилиту netcat на компьютере
Рисунок 5.9. Используя утилиту netcat на компьютере взломщика и на целевом узле, можно захватить командную оболочку. Команды, введенные в верхнем окне на рисунке, выполняются на удаленной системе,...
Утилита rinetd
Утилита rinetdРеализация перенаправления портов с помощью трех настроенных вручную сеансов netcat может оказаться далеко не наилучшим способом. Для этого можно воспользоваться различными утилитами...
Утилита fpipe
Утилита fpipeУтилита fpipe — средство передачи/перенаправления исходных пакетов TCP через заданный порт. Она разработана в компании Foundstone, Inc., к которой авторы этой книги имеют непосредстве...
Утилита перенаправления fpipe запущенная на удаленном узле
Рисунок 5.10. Утилита перенаправления fpipe, запущенная на удаленном узле Самой примечательной особенностью утилиты fpipe является возможность задать исходный порт. В процессе тестового проникно...
Основные контрмеры против атак
Основные контрмеры против атак, направленных на расширение привилегий Как же избавиться от всех программ, установленных в ходе изучения вами данной главы, и "залатать" все оставшиеся &q...
Имена файлов
Имена файловКонтрмеры, построенные на использовании имен файлов, по всей видимости, наименее эффективны, поскольку любой мало-мальски соображающий взломщик либо переименует файлы, либо предпримет...
Параметры системного реестра
Параметры системного реестраВ отличие от утомительного поиска файлов с определенными именами в надежде, что они не были изменены, поиск параметров системного реестра может оказаться особенно эффек...
Параметры системного реестра управляющие
Параметры системного реестра, управляющие запуском программ в процессе загрузкиОсновываясь на своем опыте, можем отметить, что практически все взломщики помещают параметры своих программ в стандар...
Процессы
ПроцессыДля обнаружения тех хакерских инструментов, которые нельзя переименовать или скрыть каким-либо другим способом, можно проанализировать список выполняющихся на компьютере процессов. Наприме...
Порты
ПортыДаже если такие утилиты, как remote или пс, были переименованы, утилита netstat поможет выявить их присутствие по наличию портов, находящихся в состоянии ожидания или соединения. Периодически...
Набор Rootkit — полный взлом системы
Набор Rootkit — полный взлом системы А что, если даже сам код операционной системы окажется под контролем взломщика? Эта идея достаточно хорошо опробована для платформы UNIX. Закономерно, что для...
Контрмеры защита от набора "отмычек"
Контрмеры: защита от набора "отмычек"Если вы не можете доверять даже команде dir, значит, пришло время признать себя побежденным: создайте резервную копию важных данных (кроме двоичных ф...
Сокрытие следов
Сокрытие следов Как только злоумышленник получит права администратора, он, скорее всего, постарается скрыть факт своего присутствия в системе. Затем, получив всю интересующую его информацию, он с...
Отключение аудита
Отключение аудита Если владелец взламываемой системы хоть немного беспокоится о безопасности, он обязательно включит режим аудита, о чем мы уже говорили выше в данной главе. Поскольку ведение жур...
Очистка журнала регистрации событий
Очистка журнала регистрации событий Если деятельность, связанная с получением статуса администратора, оставила красноречивые следы в журнале регистрации событий системы NT, с помощью приложения п...
Скрытие файлов
Скрытие файлов Если злоумышленнику удастся сохранить на взломанной системе установленные им программы, это значительно облегчит его задачу при повторном проникновении. Но, с другой стороны, именн...
Attrib
attribСамый простой способ сокрытия файлов состоит в том, чтобы после их копирования в выбранный каталог воспользоваться старой командой DOS attrib, как показано в следующем примере. attrib +h...
Использование потоков в файлахМТРЗ
Использование потоков в файлахМТРЗЕсли на целевом узле используется файловая система NTFS, то для сокрытия файлов взломщик может воспользоваться еще одним приемом. Дело в том, что система NTFS под...
Контрмеры поиск потоков
Контрмеры: поиск потоковЕдинственным надежным средством, с помощью которого можно обнаружить потоки в файлах NTFS, является утилита Streamfinder компании March Information Systems. Недавно ее прио...
Резюме
РезюмеВ этой главе мы рассмотрели настолько широкий спектр возможных атак Windows NT, что у многих читателей может сложиться ошибочное представление о недостаточно надежной системе защиты этой оп...
Введение
Введение При изложении материала данной главы мы будем считать, что большая часть подготовительной работы для проникновения в систему NT уже проделана: цель выбрана (глава 2), а ее ресурсы инвент...
На каком свете мы находимся
На каком свете мы находимся Следуя классической модели проникновения, на которой построена эта книга, мы посвятили данную главу описанию оставшихся действий типичного хакера, пытающегося проникну...
Windows 2000
Windows 2000 Система NT находится не на самом верху иерархии операционных систем компании Microsoft. Выпушенная в начале 2000 года, система Windows 2000 является самой последней и мощной версией...
Administrator в поисках сокровищ
Administrator: в поисках сокровищПравило № 1, о котором нельзя никогда забывать при обеспечении безопасности Windows NT, состоит в том, что любой нарушитель абсолютно беспомощен, если он не облада...
Удаленный подбор пароля
Удаленный подбор пароляЕсли на удаленном компьютере запушена служба NetBIOS, с которой связан TCP-порт 139, то самым эффективным методом проникновения в систему NT является удаленное подключение...
Таблица 5 1 Наиболee вероятные
Таблица 5.1. Наиболee вероятные комбинации "имя пользователя/пароль" Имя пользователя Пароль administrator пустой, password, administrator arcserve arcserve, backup test...
Контрмеры защита от подбора пароля
Контрмеры: защита от подбора пароляСуществует несколько защитных мер, которые могут сделать невозможными или. по крайней мере, затруднить попытки подбора пароля. Первая из них поможет в тех случая...
Политика учетных записей
Политика учетных записейОдним из таких средств является утилита User Manager. Для задания политики учетных записей выберите в диалоговом окне диспетчера пользователей команду Policies>Account....
Passfilt
PassfiltЕще больший уровень защиты можно обеспечить с помощью динамически подключаемой библиотеки Passfilt, входящей в состав Service Pack 2. Для того чтобы она была подключена к системе защиты, н...
Passprop
PasspropЕще одним важным дополнительным средством, которое входит в состав NT Resource Kit (NTRK) является утилита Passprop, которая позволяет применить к учетным записям домена NT два следующих т...
Аудит и регистрация событий
Аудит и регистрация событийДаже если никому и не удастся проникнуть в вашу сеть с помощью подбора пароля, так как вы установили библиотеку Passfilt или воспользовались утилитой Passprop, все равно...
Журнал безопасности с зарегистрированными
Рисунок 5.1. Журнал безопасности с зарегистрированными неудачными попытками регистрации в сети, выполнявшимися с использованием утилиты NAT Если для управления журналами и их анализа вам требуетс...
Выявление вторжений в реальном времени
Выявление вторжений в реальном времениПосле применения средств анализа журналов следующим этапом является реализация механизма оповещения о возможных нарушениях в реальном времени. Количество прог...
Таблица 5 2 Некоторые системы
Таблица 5.2. Некоторые системы выявления вторжений для систем NT/2000 Система выявления вторжений Разработчик BlackICE Pro Network ICE Corp. http://www.netice.com/ Centrax Cybersafe Co...
Перехват паролей передаваемых по сети
Перехват паролей, передаваемых по сетиУтилита l0phtcrack предназначена для подбора паролей NT, которая обычно используется для автономного взлома перехваченной базы данных паролей, т.е. без соедин...
Функция SMP Packet Capture утилиты
Рисунок 5.2. Функция SMP Packet Capture утилиты lOphtcrack позволяет перехватывать пересылаемые по сети NT запросы на регистрацию для их последующего взлома с помощью lOphtcrack. В данном примере...
Программа предназначенная для отправки хэшкода
Рисунок 5.3. Программа, предназначенная для отправки хэш-кода...
Контрмеры запрещение аутентификации в локальной сети
Контрмеры: запрещение аутентификации в локальной сетиВ сервисном пакете Service Pack 4.0 была добавлена поддержка нового параметра системного реестра, призванного запретить узлу NT выполнять аутен...
Использование подписи SМВ
Использование подписи SМВХотя полностью защититься от атак с использованием хэш-кодов нельзя, можно наложить некоторые ограничения на удаленную регистрацию в системе Windows с помощью подписи SMB...
Удаленное проникновение состояние DoS и переполнение буфера
Удаленное проникновение: состояние DoS и переполнение буфера В этом разделе мы немного поговорим о том, как может разворачиваться ситуация в том случае, если взломщику не удастся подобрать пароль...
Удаленное переполнение буфера
Удаленное переполнение буфераО Windows NT ходят легенды, что в ней существуют многочисленные секретные "лазейки", с помощью которых можно получить статус администратора любой удаленной...
Таблица 5 3 Некоторые публикации
Таблица 5.3. Некоторые публикации о выявленных ошибках переполнения буфера Windows Мишень и разработчики программы взлома Адрес URL Принцип действия Netmeeting 2x, группа хакеров Cult of...
Контрмеры защита от переполнения буфера
Контрмеры: защита от переполнения буфераЛучшим ответом на атаки с применением переполнения буфера является профессиональное программирование. Упоминавшиеся выше статьи предоставляют опытному прогр...
Контрмеры предотвращение состояния DоS
 Контрмеры: предотвращение состояния DоSУстановка самого последнего сервисного пакета (при написании книги — версии 6А) позволяет защитить систему NT от большинства известных способов генерац...
Расширение привилегий
Расширение привилегийПредположим, что попытка подбора пароля увенчалась успехом — в ваших руках регистрационное имя и связанный с ним пароль пользователя интересующего вас сервера NT, не имеющего...
Сбор информации
Сбор информацииЕсли взломщику удалось завладеть учетной записью пользователя, не обладающего правами администратора, то единственной реальной возможностью, которой ему осталось воспользоваться, яв...
Контрмеры защита от сбора информации
Контрмеры: защита от сбора информацииДля проверки степени защищенности системы от деятельности подобного рода лучше всего попробовать выполнить описанные действия самостоятельно. Для этого зарегис...
Утилита getadmin
Утилита getadmingetadmin — это небольшая программа, написанная Константином Соболевым (Konstantin Sobolev), которая добавляет пользователя в локальную группу Administrators. Она использует низкоур...
Контрмеры защита от использования ynunnugetadmin
Контрмеры: защита от использования ynunnugetadminИзъян, на котором основывается принцип работы утилиты getadmin, исправлен в дополнительном модуле обновления к сервисному пакету SP 3. Этот модуль...
Утилита sechole
Утилита secholeУтилита sechole предоставляет те же возможности, что и getadmin: она добаштяет текущего пользователя в локальную группу администраторов. Обновленная версия этой утилиты secholed по...
Удаленный запуск утилиты sechole
Удаленный запуск утилиты secholeРассмотрим пример применения основного подхода, используемого при нападении на Web-серверы, который в различных формах применяется в Internet. Успешность такой атак...
Таблица 5 4 Виртуальные каталоги
Таблица 5.4. Виртуальные каталоги сервера US, имеющие по умолчанию разрешения Execute, к соответствующие им физические каталоги Виртуальный каталог Физическое расположение /W3SVC/l/ROOT/msa...
Взлом удаленной системы с помощью утилиты sechole
Рисунок 5.4. Взлом удаленной системы с помощью утилиты sechole Далее вместо того чтобы регистрироваться с использованием учетной записи IUSR, пароль которой пока неизвестен, взломщик добавит нов...
Контрмеры защита от применения утилиты sесhо1е
Контрмеры: защита от применения утилиты sесhо1еСуществует два простых метода защиты как от утилиты sechole, так и от удаленного выполнения команд в Web. Во-первых, установите самый последний серви...
Вкладка Ноте Directory диалогового
Рисунок 5.5. Вкладка Ноте Directory диалогового окна свойств виртуального Web-сервера, на которой отключены разрешения Execute...
Ложные запросы к портам LPC
Ложные запросы к портам LPCТакую возможность обнаружила группа исследователей RAZOR (http://razor. bindview.com) и предоставила авторам проверочный код, который, однако, не был открыт для широког...
Применяйте модули обновления!
Применяйте модули обновления!Компания Microsoft выпустила модуль обновления сервисного пакета SP6A, который изменяет вызов функции проверки достоверности, входящей в состав программного интерфейса...
"Троянские кони" и параметры реестра
"Троянские кони" и параметры реестраОсновной принцип расширения привилегий заключается в том, чтобы ввести в заблуждение других пользователей (лучше всего администратора) и выполнить код...
"Троянские кони" и расширение привилегий
"Троянские кони" и расширение привилегий"Троянский конь" (Trojan horse) — это программа, которая предоставляет некоторые полезные функции, однако на самом деле предназначена дл...
Контрмеры защита от "троянских коней"
Контрмеры: защита от "троянских коней"Хотя предлагаемые контрмеры и не обеспечивают стопроцентной защиты, все же будьте внимательны при запуске приложений. Обращайте внимание на различны...
Параметры реестра обеспечивающие выполнение программ
Параметры реестра, обеспечивающие выполнение программЕще одним хорошим методом скрытого запуска командного файла является использование специальных значений в системном реестре NT. В зависимости о...
Таблица 5 5 Параметры системного
Таблица 5.5. Параметры системного реестра, которые можно использовать для вызова программ, расширяющих привилегии пользователя Параметр Разрешения по умолчанию Значение, позволяющее запуск...
Защита параметров системного реестра
Защита параметров системного реестраС использованием редактора системного реестра regedt32 для этих параметров необходимо задать следующие разрешения. CREATOR OWNER: Full control  Administra...
Несколько заключительных слов о расширении привилегий
Несколько заключительных слов о расширении привилегийТеперь у вас не вызывает сомнений тот факт, что расширить привилегии чрезвычайно сложно. Единственное, что может помочь взломщику, — это грубые...
Расширение привилегий
Расширение привилегий У вас может возникнуть вопрос: "Стоит ли читать, что может произойти, когда кто-то получит права администратора на моем компьютере? И так все ясно!" Не спешите с в...
Взлом базы данных SAM
Взлом базы данных SAMПолучив привилегии администратора, взломщик, скорее всего, сразу же направится к диспетчеру SAM системы NT (SAM — Security Accounts Manager). В базе данных SAM содержатся имен...
Получение базы данных SAM
Получение базы данных SAMПри осуществлении любых попыток взлома первый этап состоит в получении файла паролей, который в случае NT называется файлом данных SAM. Система NT хранит данные SAM в фай...
Перезагрузка с помощью альтернативной операционной системы
Перезагрузка с помощью альтернативной операционной системыДля того чтобы перезагрузиться с использованием другой операционной системы, достаточно подготовить системную дискету с DOS. Если на жестк...
Извлечение резервной копии файла SАМ из каталога Repair
Извлечение резервной копии файла SАМ из каталога RepairПри каждом запуске утилиты NT Repair Disk Utility (rdisk) с параметром /s, который активизирует режим резервного копирования важной системной...
Извлечение хэшкодов из данных SAM
Извлечение хэш-кодов из данных SAMПри наличии привилегий администратора кэш-коды паролей можно легко получить непосредственно из системного реестра в формате, подобном формату файла /etc/passwd UN...
Перехват данных о пользовательских
Перехват данных о пользовательских именах и паролях, передаваемых по сетиОдной из сильных сторон утилиты LOphtcrack является возможность извлекать \эш-коды паролей прямо из SMB-пакетов, передаваем...
Взлом паролей NT
Взлом паролей NTВ данном разделе вы познакомитесь с тремя утилитами, предназначенными для взлома паролей системы NT. Хотя наиболее известной является утилита L0phtcrack, здесь мы рассмотрим и неко...
L0phtcrack
L0phtcrackВерсию утилиты L0phtcrack с графическим интерфейсом, распространяемую исследовательской лабораторией компании ©stake по цене S100, можно найти по адресу http://www.atstake.com. Для...
Утилита L0phtcrack за работой
Рисунок 5.6. Утилита L0phtcrack за работой. Менее надежные пароли LanMan взломать гораздо легче, что делает ненужным подбор хорошо защищенных паролей NT...
Johnпотрошитель
John-потрошительJohn — это программа взлома паролей с использованием словаря. Ее можно получить по адресу http://www.false.com. Первоначально эта утилита командной строки была создана для взлома ф...
Crack 5 с расширением для NT
Crack 5 с расширением для NTУтилита crack, написанная Алеком Маффетом (Alec Muffet), изначально предназначалась для взлома файлов паролей системы UNIX. Однако со временем для нее было создано расш...
Контрмеры защита от взлома пароля
Контрмеры: защита от взлома пароля...
Строгие правила выбора пароля
Строгие правила выбора пароляНикакие технические средства не смогут обеспечить гарантированную защиту от взлома пароля. Они необходимы для создания эффективной защиты, но одних лишь технических ср...
Утилита L0phtcrack взломала половину
Рисунок 5.7. Утилита L0phtcrack взломала половину пароля пользователя waldo менее чем за минуту на компьютере с процессором Pentium...
Утилита L0phtcrack с помощью обновленного
Рисунок 5.8. Утилита L0phtcrack с помощью обновленного словаря справилась с подбором правильного пароля за считанные секунды Данный пример наглядно демонстрирует, как относительно просто угадать...
Защита базы данных SAM
Защита базы данных SAMОграничение доступа к файлу SAM — это также один из важнейших методов зашиты. Физическое ограничение доступа к серверу является единственным методом воспрепятствовать злоумыш...
Шифрование SYSKEY
Шифрование SYSKEYРасширенное SYSKEY-шифрование данных SAM было разработано вскоре после выхода сервисного пакета Service Pack 2. Такой алгоритм позволяет установить шифрование паролей с помощью 12...
Аудит доступа к базе данных SAM
Аудит доступа к базе данных SAMЗачастую бывает довольно трудно выявить факт извлечения информации о паролях с вашего узла NT. Одной из возможностей, призванных помочь в решении этой проблемы, явля...
Использование доверительных отношений
Использование доверительных отношений Для того чтобы "получить в свое распоряжение" домен, недостаточно обладать правами администратора на одном из компьютеров сети. Фактически в больши...
Контрмеры против дублирования данных учетных записей
Контрмеры против дублирования данных учетных записейСамой лучшей защитой от таких "подводных камней" является использование сложных паролей для всех учетных записей группы администраторо...
Атака на секреты LSA
Атака на секреты LSAЭта атака может послужить одним из самых ярких примеров той опасности, к которой может привести хранение регистрационных данных в незашифрованном виде. Такая информация вместе...
Контрмеры защита секретовLSA
Контрмеры: защита секретовLSAК сожалению, компания Microsoft не сказала ничего оригинального, заявляя, что к подобной информации администратор имеет доступ в соответствии с принятой архитектурой....
Параметры реестра предназначенные
Параметры реестра, предназначенные для автоматической регистрацииСистему NT можно настроить таким образом, чтобы при загрузке выполнялась автоматическая регистрация в системе. Для этого использует...
Контрмеры против автоматической регистрации
Контрмеры против автоматической регистрацииДля того чтобы запретить автоматическую регистрацию, удалите значение параметра DefaultPassword. Кроме того, нужно удалить значение параметра AutoAdmin L...
Регистраторы нажатия клавиш
Регистраторы нажатия клавишЕсли все остальные попытки взломщика, имеющего статус администратора локальной системы, получить аналогичные привилегии в домене не увенчались успехом, он может попытат...
Контрмеры защита от программрегистраторов
Контрмеры: защита от программ-регистраторовОбнаружить программы-регистраторы не так-то просто. Это объясняется тем, что они внедряются в систему на низком уровне. Что касается IKS, мы рекомендуем...
Анализаторы сетевых пакетов
Анализаторы сетевых пакетов Перехват пакетов, передаваемых в локальной сети, является одним из наиболее эффективных способов дальнейшего проникновения в сеть после того, как взломщик получил дост...
BUTTSniffer
BUTTSnifferСреди взломщиков системы NT наиболее популярным средством является динамически загружаемая программа BUTTSniffer от Дилдога (DilDog), основного автора Back Orifice 2000. Программа BUT...
Fsniff
fsniff Утилита fsniff написана компанией Foundstone, Inc., в которой авторы книги являются ведущими сотрудниками. Утилитой fsniff используется динамически загружаемый драйвер захвата пакетов (fsn...
Анализаторы пакетов Win32 * на базе интерфейса WinPcap
Анализаторы пакетов Win32 * на базе интерфейса WinPcapМногие популярные программы-анализаторы UNIX, предназначенные для захвата пакетов на уровне пользователей, созданы на базе интерфейса libpcap,...
WinDump
WinDumpЭта утилита, являющаяся аналогом утилиты tcpdump системы UNIX, написана авторами WinPcap. Как видно из приведенного ниже примера, эта утилита является простым средством перехвата пакетов, п...
Контрмеры защита от перехвата пакетов
Контрмеры: защита от перехвата пакетовЕсли приведенные выше советы показались вам недостаточными, дополнительно можно порекомендовать следующее. При передаче информации по сети используйте механиз...








Начало