Защита информации в Интернет


Уязвимость UNIX


Уязвимость UNIX
Уязвимость UNIX Бытует мнение, что стремление получить доступ к системе UNIX в качестве пользователя root столь же неискоренимо, как наркотическая зависимость. Причина интереса к таким привилегиям...
Локальный доступ
Локальный доступ Итак, мы рассмотрели общие принципы получения удаленного доступа. Как уже упоминалось выше, большинство взломщиков, используя изъяны в защите средств удаленного доступа, стремятс...
Поиск неправильно выбранных паролей
Поиск неправильно выбранных паролейКак уже отмечалось выше, после того, как взломщику удалось получить доступ, самую большую угрозу для безопасности представляют собой легко угадываемые пароли. Не...
Процесс подбора пароля
Рисунок 8.4. Процесс подбора пароля Из всего многообразия программ, предназначенных для взлома паролей, можно выделить Crack 5.0а Алека Маффета (Alec Muffett) и John the Ripper. Программа Crack...
Crack 5 0a
Crack 5.0aДля того чтобы запустить программу Crack, достаточно указать, где находится файл паролей, а затем лишь дождаться результата. Crack является самокомпилирующейся программой, поэтому после...
Контрмеры защита от взлома неправильно выбранных паролей
Контрмеры: защита от взлома неправильно выбранных паролейКонтрмеры, позволяющие защитить систему от попыток взлома неправильно выбранных паролей, приведены в разделе "Защита От Подбора Пароле...
Локальное переполнение буфера
Локальное переполнение буфераВзлом путем локального переполнения буфера — один из самых популярных видов атак. Как уже упоминалось выше в этой главе в разделе "Удаленный Доступ", использ...
Контрмеры защита от локального переполнение буфера
Контрмеры: защита от локального переполнение буфераЛучшим методом зашиты от локального переполнения буфера является учет требований безопасности в процессе программирования, а также включение режи...
Символьные ссылки
Символьные ссылкиУстаревшие, рабочие и временные файлы в той или иной степени "захламляют" большинство систем. К счастью, в UNIX большинство временных файлов создается в одном каталоге /...
Контрмеры защита от взлома с использованием
Контрмеры: защита от взлома с использованием символьных ссылокВ данном случае самой лучшей защитой является программирование с учетом требований безопасности. К сожалению, алгоритмы многих програм...
Взлом с помощью дескриптора файла
Взлом с помощью дескриптора файлаДескрипторы файлов (file descriptor) — это неотрицательные целые числа, которые используются системой для управления файлами. Дескрипторы позволяют облегчить работ...
Контрмеры защита от взлома с помощью дескриптора файла
Контрмеры: защита от взлома с помощью дескриптора файлаРазработчики программ, предназначенных для работы в контексте SUID, должны следить за корректностью распределения дескрипторов файлов. В част...
Гонки на выживание
Гонки на выживаниеВ реальной жизни хищник нападает на жертву, когда она наименее защищена. В ки-берпространстве эта аксиома также имеет место. Компьютерные взломщики, как правило, стремятся воспол...
Проблемы обработки сигналов
Проблемы обработки сигналовВ системе UNIX сигналы (signal) обеспечивают механизм, используемый для извещения процесса о том, что возникло какое-то определенное условие. Кроме того, с помощью сигна...
Контрмеры защита от взлома с помощью сигналов
Контрмеры: защита от взлома с помощью сигналовКогда речь идет о файлах SUID, корректная обработка сигналов должна быть обязательным требованием. Если программа перехватывает и обрабатывает сигналы...
Манипуляции с файлами дампов
Манипуляции с файлами дамповВозможность получения дампа (core file) при выполнении программы может привести гораздо к более серьезным последствиям, чем кажется на первый взгляд. Во время работы си...
Контрмеры защита от взлома с помощью файлов дампов
Контрмеры: защита от взлома с помощью файлов дамповФайлы дампов — это неизбежное зло. Несмотря на то что они могут предоставить взломщику конфиденциальную информацию, они также обеспечивают получе...
Совместно используемые библиотеки
Совместно используемые библиотекиСовместно используемые библиотеки (shared library) позволяют исполняемым файлам обращаться к функциям общего назначения во время выполнения. Соответствующий програ...
Контрмеры защита совместно используемых библиотек
Контрмеры: защита совместно используемых библиотекПри зафузке модулей с установленным флагом SU1D суперпользователя динамические компоновщики должны игнорировать значения переменной окружения LD_P...
Изъяны ядра
Изъяны ядраНе секрет, что UNIX является очень сложной и надежной операционной системой. Из-за сложности в UNIX и других мощных операционных системах неизбежно имеются определенные программные ошиб...
Контрмеры защита ядра
Контрмеры: защита ядраОписанный изъян имеет место во многих системах Linux. Поэтому соответствующий модуль обновления системному администратору нужно установить в первую очередь. К счастью, это оч...
Неправильная настройка системы
Неправильная настройка системыВ предыдущих разделах мы описали часто встречаемые изъяны, а также методы, с помощью которых злоумышленники могут воспользоваться этими недоработками и получить приви...
Права доступа к файлам и каталогам
Права доступа к файлам и каталогамПростота и мощь системы UNIX основывается на реализованном в ней механизме использования файлов. Независимо от того, являются ли они двоичными исполняемыми програ...
Файлы SUID
Файлы SUIDУстановка для файлов бита SUID или SGID — смертельно опасна. Этим все сказано! Ни один другой файл системы UNIX не подвержен столь частым попыткам злоумышленников всех мастей получить не...
Контрмеры защита от взлома с использэванием SUIDфайлов
Контрмеры: защита от взлома с использэванием SUID-файловЛучшей мерой по защите от взлома, основанного на использовании SUID/SGID-файлов, является сброс флага SUID/SGID у как можно большего количес...
Общедоступные для записи файлы
Общедоступные для записи файлыЕще одной типичной ошибкой в настройке является разрешение записи в важные файлы всем пользователям. Как и в случае файлов SUID, общедоступные для записи файлы создаю...
Контрмеры защита общедоступных для записи файлов
Контрмеры: защита общедоступных для записи файловРегулярный поиск всех общедоступных для записи файлов является хорошей практикой системного администратора. Измените права записи для всех найденны...
Взлом командной оболочки
Взлом командной оболочкиКомандная оболочка UNIX представляет собой очень мощную программу, которая обеспечивает удобную работу пользователей. Одной из главных отличительных особенностей окружения...
Взлом IFS
Взлом IFSПеременная IFS предназначена для отделения друг от друга слов, используемых в окружении командной оболочки. Обычно значением переменной IFS является символ пробела, который служит для раз...
Контрмеры защита переменной IFS
Контрмеры: защита переменной IFSПри взломе с использованием переменной IFS в большинстве случаев мишенью злоумышленников является системная функция system(). Вызов этой функции используется в обол...
Права root получены — что дальше?
Права root получены — что дальше? Когда уровень адреналина, выброшенного при попытках получить доступ в качестве суперпользователя, возвращается к норме, у взломщика начинается реальная работа. О...
Отмычки
ОтмычкиПоскольку взломанная система представляет собой ценность для злоумышленника прежде всего как плацдарм для проникновения в другие компьютеры, для него очень важно разместить на взломанной ма...
Программы типа "троянский конь"
Программы типа "троянский конь" После того как взломщик получит права суперпользователя, он может "троянизировать" практически любую команду операционной системы. Именно поэто...
Контрмеры защита от "троянских коней"
Контрмеры: защита от "троянских коней"Обнаружить программы типа "троянский конь" без соответствующих средств подчас довольно трудно. Возлагать надежды на стандартные методы, ос...
Анализаторы сетевых пакетов
Анализаторы сетевых пакетовЕсли злоумышленник проник в вашу систему в качестве суперпользователя — это плохо, но, возможно, еще хуже, если кто-то установил на каком-либо сетевом узле утилиту перех...
Что такое анализатор сетевых пакетов
Что такое анализатор сетевых пакетовАнализаторы изначально были разработаны как средство решения сетевых проблем. Они могут перехватывать, интерпретировать и сохранять для последующего анализа пер...
Как работают анализаторы
Как работают анализаторыСамый простой метод ознакомления с принципами работы анализаторов состоит в изучении тех анализаторов, которые ориентированы на сеть Ethernet. Конечно, анализаторы существу...
Популярные анализаторы
Популярные анализаторыВ табл. 8.2 приведен не претендующий на полноту перечень инструментальных средств, с которыми нам приходилось сталкиваться и работать чаще всего на протяжении всех тех лет, к...
Таблица 8 2 Популярныебесплатные
Таблица 8.2. Популярныебесплатные анализаторы сетевых пакетов для UNIX Название, авторы Адрес Описание Sniffit, Brecht Claerhout (известен также под псевдонимом coder) http://reptile.r...
Контрмеры защита от анализаторов
Контрмеры: защита от анализаторовСуществует три основных подхода к защите от анализаторов, которые могут быть внедрены в вашу сеть или уже внедрены в нее. Переход на сеть с коммутируемой тополог...
Обнаружение анализаторов
Обнаружение анализаторовСуществует два основных подхода к обнаружению анализаторов — на уровне узла и на уровне сети. На уровне узла самый простой метод заключается в определении того, работает ли...
Шифрование (SSH IPSec)
Шифрование (SSH, IPSec)Давно известным методом борьбы с прослушиванием сетей является шифрование. Только шифрование на уровне получателя и отправителя может обеспечить уровень практически полной к...
Очистка системных журналов
Очистка системных журналовНе желая предоставлять вам (а тем более — правоохранительным органам) каких-либо сведений о факте получения доступа к системе, взломщик, как правило, постарается очистить...
"Наборы отмычек" для модификации ядра
"Наборы отмычек" для модификации ядраВ предыдущих разделах были рассмотрены традиционные "наборы отмычек", с помощью которых можно модифицировать определенные файлы взломанной...
Контрмеры защита от средств модификации ядра
Контрмеры: защита от средств модификации ядраКак следует из приведенных сведений, "наборы отмычек" для модификации ядра могут оказаться чрезвычайно разрушительными и трудными для выявлен...
Восстановление системы после использования
Восстановление системы после использования "набора отмычек" Поскольку мы не можем предоставить исчерпывающее описание процедур выявления описанных вторжений, очень важно хотя бы упомяну...
Резюме
Резюме Как мы увидели из нашего исследования, UNIX — это сложная система, для адекватной защиты которой необходимо предпринимать целый ряд комплексных мероприятий. Мощь и элегантность UNIX обеспе...
Таблица 8 3 Дополнительные ресурсы безопасности системы UNIX
Таблица 8.3. Дополнительные ресурсы безопасности системы UNIX Название Операционная система Адрес Описание Titan Solaris http://www.fish.com/titan/ Набор программ, призванных у...
Root в поисках сокровища
root: в поисках сокровища В 1969 году Кен Томпсон (Ken Thompson), к которому несколько позднее присоединился его коллега по работе в компании AT&T Дэнис Ричи (Denis Richie), решили, что проект...
Краткий обзор
Краткий обзор Как вы, должно быть, помните, в главах 1-3 мы рассматривали, как идентифицировать систему, работающую под управлением UNIX, и провести инвентаризацию информации, доступной на этой с...
Составление схемы уязвимых мест
Составление схемы уязвимых мест Составление схемы уязвимых мест (vulnerability mapping) — это процесс нахождения соответствия между определенными атрибутами безопасности системы с соответствующим...
Удаленный и локальный доступ
Удаленный и локальный доступ Остальной материал данной главы разбит на две части, первый из которых посвящен использованию удаленного доступа, а второй — локального. Удаленный доступ (remote acce...
Удаленный доступ
Удаленный доступ Как уже говорилось выше, для удаленного доступа используется локальная сеть или какой-либо другой коммуникационный канал, такой как модемная связь с системой UNIX, выступающей в...
Подбор паролей
Подбор паролейОбсуждение возможных методов взлома системы UNIX мы начнем с одного из самых популярных — подбора пароля путем простого перебора всех возможных вариантов, т.е. атаки "в лоб"...
Защита от подбора паролей "в лоб"
Защита от подбора паролей "в лоб"Наилучшим способом защиты от подбора пароля является использование трудно угадываемых паролей. В идеальном случае желательно использовать механизм однора...
Таблица 8 1 Бесплатные утилиты
Таблица 8.1.Бесплатные утилиты, которые позволяют защититься от подбора паролей "в лоб" Инструмент Описание Адрес S/Key Система генерации одноразовых паролей http: //www.y...
Взлом с использованием данных
Взлом с использованием данных Обсудив "притчу во языцах" — взлом с помощью подбора паролей, — можно перейти к другому методу, также ставшему стандартом "де факто" при получени...
Взлом путем переполнения буфера
Взлом путем переполнения буфераВ ноябре 1996 года подходы к компьютерной безопасности изменились раз и навсегда. Ведущий списка рассылки Bugtraq Алеф Ван (Aleph One) опубликовал в номере 49 журнал...
Контрмеры защита от атак с использованием
Контрмеры: защита от атак с использованием переполнения буфера...
Практика безопасного кодирования
Практика безопасного кодированияЛучшим методом зашиты от переполнения буфера является практика кодирования, учитывающего все требования обеспечения безопасности. Хотя на практике невозможно спроек...
Тестирование и аудит каждой программы
Тестирование и аудит каждой программыОчень важно выполнять тестирование и аудит каждой программы. Очень часто случается, что программисты даже не задумываются о том, может ли в их программе возник...
Отключение неиспользуемых или потенциально опасных служб
Отключение неиспользуемых или потенциально опасных службНа протяжении этой главы мы будем возвращаться много раз к этому вопросу. Если какие-то неиспользуемые или потенциально опасные службы не яв...
Отключение режима поддержки выполнения стека
Отключение режима поддержки выполнения стекаНекоторые радетели чистоты нередко прибегают даже к отключению режима поддержки выполнения стека (stack execution), чтобы обеспечить защиту каждой прогр...
Взлом при отсутствии проверки ввода
Взлом при отсутствии проверки вводаВ 1996 году Дженифер Майерс (Jennifer Myers) идентифицировал ставший впоследствии широко известным изъян PHF. Хотя атаки с использованием этого изъяна уже отошли...
Контрмеры
КонтрмерыКак уже упоминалось раньше, одним из лучшим способов превентивной защиты является разработка программ с учетом требований обеспечения безопасности. Это же правило можно в полной мере прим...
Интерактивный доступ к командной оболочке
Интерактивный доступ к командной оболочке Обсудив два основных метода получения доступа к системе UNIX, необходимо поговорить и об методах, используемых для получения доступа к командной оболочке...
Упрощенная архитектура демилитаризованной зоны
Рисунок 8.1. Упрощенная архитектура демилитаризованной зоны Предположим, что взломщик пытается получить доступ к Web-серверу, работающему под управлением операционной системы UNIX, который наход...
Операции в системе X
Операции в системе XПосле того как взломщик получил возможность выполнять команды на Web-сервере, используя недостатки в реализации PHF, первым из методов, которыми он воспользуется для получения...
Реверсивный сеанс telnet и обратные каналы
Реверсивный сеанс telnet и обратные каналыБезусловно, программа xterm представляет собой самое простое средство получения контроля над системой UNIX. Однако как быть в том случае, если об этом зна...
Контрмеры защита от попыток создания обратных каналов
Контрмеры: защита от попыток создания обратных каналовПротивостоять попыткам создания обратного канала очень трудно. Самой лучшей превентивной мерой является применение всех средств обеспечения бе...
Часто используемые методы удаленного взлома
Часто используемые методы удаленного взлома Хотя мы не сможем описать все возможные методы удаленного взлома, однако, как нам кажется, у вас уже должно было выработаться общее представление об ос...
TFTP
TFTPПротокол TFTP (Trivial File Transfer Protocol — простой протокол передачи файлов) обычно используется для загрузки бездисковых рабочих станций или сетевых устройств. таких как маршрутизаторы....
Контрмеры защита TFTP
Контрмеры: защита TFTPУбедитесь в том, что сервер TFTP ограничивает доступ к определенным каталогам, таким как /tftpboot. Это воспрепятствует взломщикам получить важную информацию о конфигурации с...
FTP
FTPВ настоящее время протокол FTP (File Transfer Protocol), позволяющий обмениваться файлами с удаленными системами, является одним из наиболее популярных. Это одна из причин, по которым он часто...
Контрмеры защита FTP
Контрмеры: защита FTPХотя протокол FTP очень полезен, необходимо помнить, что разрешение анонимного доступа к FTP-серверу может весьма пагубно сказаться на "самочувствии" вашего сервера....
Sendmail
sendmailДанная тема столь обширна, что вполне заслуживает отдельной книги. С чего же начать? Программа sendmail — это агент рассылки электронной почты (МТА — mail transfer agent), используемый во...
Контрмеры защита программы sendmail
Контрмеры: защита программы sendmailЛучшим методом защиты от попыток взлома sendmail является отказ от ее использования во всех случаях, когда эта программа не используется для получения почты по...
Службы удаленного вызова процедур (RPC)
Службы удаленного вызова процедур (RPC)Удаленный вызов процедур (RPC — Remote Procedure Call) — это механизм, который позволяет программе, работающей на одном компьютере, выполнять программный код...
Окно xterm появившееся в результате
Рисунок 8.2. Окно xterm, появившееся в результате использования утилиты cmsd. Этого же результата можно достигнуть при использовании служб rpc. ttdbserverd или rpc. statd #!/bin/shif [ $# -It 4...
Контрмеры защита служб RFC
Контрмеры: защита служб RFCЛучшим методом защиты от удаленных атак является отключение всех служб RPC, в использовании которых нет острой необходимости. Если же какая-то служба RPC очень важна для...
NFS
NFSВ документах компании Sun Microsystems можно встретить такое определение: "Сеть — это и есть компьютер". Действительно, возможности компьютера, не подключенного к сети, гораздо уже, ч...
Контрмеры защита системы NFS
Контрмеры: защита системы NFSЕсли нет острой необходимости в использовании системы NFS, то ее, а также и все связанные с ней службы (например, mountd, statd и lockd) необходимо отключить. Реализуй...
Проблемы защиты системы X
Проблемы защиты системы XСистема X Window предоставляет богатый набор функций, позволяющий многим программам одновременно использовать один и тот же графический дисплей. Но с точки зрения безопасн...
С помощью утилиты XWatchWin можно
Рисунок 8.3. С помощью утилиты XWatchWin можно удаленно просмотреть окно практически любого приложения рабочего стола...
Контрмеры защита системы X
Контрмеры: защита системы XСделайте все возможное, чтобы избежать использования команды xhost +. He ленитесь, помните о безопасности! Если вы не можете пойти на столь радикальные меры, тогда хотя...
Атаки на систему DNS
Атаки на систему DNSDNS является одной из наиболее популярных служб, используемых в Internet и большинстве корпоративных интрасетей. Как и следовало ожидать, такое широкое распространение службы D...
Контрмеры защита службы DNS
Контрмеры: защита службы DNSПервое и самое главное — отключите и удалите пакет BIND на всех узлах, которые не используются в качестве сервера DNS. Во многих версиях системы UNIX (особенно Linux) п...








Начало