Внедрение в компьютер

Удобные случаи множатся, если ими пользуются.

🕛 12.09.2009, 00:16

ВЗЛОМАТЬ КОМПЬЮТЕР НЕЛЕГКО, И ХАКЕР, КОТОРОМУ ЭТО УДАЛОСЬ, ДОЛЖЕН В ПЕРВУЮ ОЧЕРЕДЬ ПОЗАБОТИТЬСЯ О ТОМ, ЧТОБЫ ВПОСЛЕДСТВИИ ОН МОГ ВНОВЬ ВЕРНУТЬСЯ В СИСТЕМУ. Лучшей гарантией такой возможности для хакера является получение доступа к учетной записи администратора (привилегированного пользователя) - root.
С этой целью хакеры разработали специальные инструментальные средства расширения полномочий (rootkits), предназначенные для создания люков, или "дыр"(holes), в системах защиты. Эти средства позволяют хакерам подготавливать альтернативные пути доступа к компьютеру, которыми они смогут воспользоваться даже в том случае, если системный администратор обнаружит лазейку, использованную для первоначального проникновения п компьютер.
К наиболее распространенным средствам указанной категории относятся сетевые анализаторы пакетоп (snifters) и регистраторы клавиатурных нажатий (keystroke loggers) (предназначенные для отслеживания дополнительных паролей), средства для удаления записей в системных журналах (log-cleaning tools) (позволяющие уничтожать следы присутствия хакера в компьютере), программы поиска унзиимостсн известного типа (позволяющие нос-пользоваться ранее найденными брешами в операционных системах и серверном программном обеспечении) и "троянские кони" (предназначенные для создания лкжон и маскировки результатов деятельности злоумышленника в компьютере). Стоит только хакеру установить в компьютере одно из перечисленных инструментальных

средств, и он сможет вновь посетить этот компьютер в любой момент, оставаясь незамеченным.

Удаление записей из системных журналов

В системные журналы (log files) записывается информация обо всех действиях, которые выполняются на данном компьютере, что дает системному администратору возможность проследить за тем, кто именно пользовался компьютером, что он делал, как долго длился рабочий сеанс и откуда было произведено соединение. Подобно тому, как телекамеры наблюдения записывают видеоинформацию обо всех действиях взломщика в магазине, системные журналы сохраняют информацию обо всех действиях компьютерного злоумышленника, и поэтому хакер, проникнув в компьютер, прежде всего отыскивает системный журнал.
Неопытные "сценарщики", чтобы администратор системы не смог проследить за их действиями, часто удаляют все содержимое системного журнала. Однако это не самое удачное решение с их стороны, поскольку удаление системного журнала говорит о визите компьютерного злоумышленника не менее убедительно, чем уничтожение видеокамеры слежения динамитом - о визите грабителей. Как только администратор заметит, что системный журнал был кем-то удален, он сразу поймет, что в системе поработал хакер.
Чтобы не выдавать себя удалением системных журналов, более осмотрительные и технически более подкованные хакеры для скрытия следов своей деятельности вносят в них лишь избирательные изменения, удаляя записи с информацией о своих действиях и оставляя все остальные записи в журнале нетронутыми. При беглой проверке системы администратор вряд ли заметит изменения, в результате чего у хаке ра появится еще один шанс проникнуть в компьютер, не вызвав у администратора никаких подозрений.
Записи в системных журналах обычно содержат следующую информацию:
> IP-адрес машины, которая выполнила некоторое действие или запрос на компьютере-мишени.
> Имя пользователя, которое лишь идентифицирует используемую учетную запись. Под именем вполне легитимного пользователя может скрываться хакер, которому удалось завладеть данными учетной записи.
> Дату и время выполнения пользователем отдельных операций.
> Полный перечень команд и запросов, направленных компьютеру пользователем.
> Код HTTP-состояния, возвращенный компьютером пользователю. Код состояния показывает, какие действия были выполнены компьютером в ответ на команды или запросы пользователя.
> Количество байтов, переданных пользователю.
Во многих случаях хакеру для скрытия следов своей деятельности вполне достаточно отредактировать системный журнал, однако в распоряжении системных администраторов имеются специальные методы проверки целостности журнальных
файлов. Одним из наиболее простых методов является вывод журнала на печать по мере его генерации. При таком подходе, даже если хакер удалит или модифицирует журнал, ему никогда не удастся уничтожить или изменить его печатную копию. Если у системного администратора возникнут какие-либо подозрения, он может сравнить содержимое системного журнала, хранящегося на жестком диске, с информацией, выведенной на печать. Хотя такая процедура и кажется довольно утомительной, она может служить реальной гарантией того, что хакеру не удастся скрыть следы своей деятельности одним лишь изменением содержимого системных журналов.
Другим способом сохранения информации, содержащейся в системных журналах, является ее дублирование. Исходный системный журнал размещается там, где его и рассчитывает найти хакер, но дубликаты того же файла сохраняются на совершенно другом компьютере, желательно таком, на котором никому (даже тому, кто зарегистрировался в системе с правами администратора) не будет позволено модифицировать или удалить их. В распоряжении системных администраторов имеются специальные программы анализа системных журналов (fog-file analysis programs), которые могут сравнивать две версии журнала и уведомлять системного администратора о любых расхождениях между ними, указывающих на возможное вмешательство хакера.
Для получения более полного представления о возможностях программ анализа содержимого системных журналов вы можете посетить узлы, перечень которых приводится ниже;
Analog http://www.analog.cx
WebTrend* http://www.netiq.com
Sawmill http://www.sawmill.netNelTracker http://www.iane.com
Wsbotizer http://www.mrunix.net/webalizer

Нейтрализация мониторинговых программ

Путем изменения содержимого системных журналов хакеры могут скрывать следы совершенных ими деяний, но при этом они все еще нуждаются в средствах, позволяющих им скрывать свое присутствие во время работы в системе. Поэтому вслед за системными журналами очередными мишенями хакеров являются программы, с помощью которых системные администраторы отслеживают изменения в системе. В мире Unix и Linux хакеры чаще всего пытаются изменить следующие команды:
find - Осуществляет поиск групп файлов
Is - Выводит содержимое текущего каталога
netstat - Отображает состояние сети, в том числе информацию об открытых портах
ps - Отображает текущие процессы, находящиеся в состоянии выполнения
who - Отображает имена пользователей, работающих в данный момент в системе