Койнаш А.С.

Взлом и защита компьютерной сети: этапы и инструменты

Стремительное развитие новейших информационных технологий и их внедрение в жизнь обусловили появление нового вида преступности в сфере компьютерной информации – компьютерной преступности или киберпреступности. Для Украины этот вид преступности является относительно новым, но для многих развитых стран проблемы, возникающие в связи с данным видом преступности, давно стали первоочередными и требующими безотлагательного решения.

Многие люди узнают о преступлениях данной категории лишь тогда, когда они в той или иной мере затрагивают их интересы. Поэтому для полного и объективного раскрытия и расследования преступлений вышеуказанной категории необходимо не только знать, но и понимать мотивы и механизм совершения преступлений в сфере информационных технологий.

Важно также определиться c классификацией преступников. К примеру, многие ошибаются в понятиях «хакер» и «крекер», что приводит к непониманию при общении с сотрудниками правоохранительных органов других стран. Крекер – преступник, обладающий специальными знаниями по операционным системам, компьютерным сетям и технологиям передачи информации, а также умеющий на достаточно высоком уровне исследовать атакуемую систему, найти уязвимости и exploit, т. е. программу, использующую для взлома найденную уязвимость, написанную другим преступником. Хакер – преступник, обладающий специальными знаниями не только по операционным системам, компьютерным сетям и технологиям передачи информации в вышеназванных сетях, но и умеющий на достаточно высоком уровне исследовать атакуемую систему, найти уязвимости и написать программу, использующую найденные уязвимости для взлома компьютера. Автор данной статьи предлагает использовать термин «киберпреступник» – лицо, обладающее специальными познаниями в области информационных технологий, совершающее виновное противоправное деяние, направленное на несанкционированное получение доступа к определенной информации, в целях ее использования.

После того, как мы определились с понятием киберпреступник, приступим к рассмотрению механизма совершения правонарушений данной категории на примере компьютерной сети, использующей операционные системы Windows.

Прежде, чем приступать к такому «искусству» как хакинг, киберпреступник займется предварительным сбором всей информации о заинтересовавшей его цели: определит доменные имена, адреса сетей и отдельных компьютеров.

Для поиска информации о своей будущей жертве киберпреступник использует открытые источники в Internet: · адреса и места расположения офисов на Web-узлах;
· информацию о деловых партнерах;
· номера телефонов;
· контактную информацию и номера электронной почты.

Получить такую открытую информацию можно, воспользовавшись поисковыми системами Internet, такими как: AltaVista, Hot Bot, Rambler, Aport, Meta-Ukraine, а также специализированными поисковыми машинами, такими как www.ripe.net, www.apnic.net. Киберпреступники предпочитают использовать средства, проводящие поиск одновременно на многих поисковых ресурсах: Web Ferret, Tiger Tool Box.

Защититься от получения киберпреступниками данного вида информации невозможно так, как она является общедоступной, необходимой для функционирования той или иной организации. Однако, следует как можно меньше предоставлять личной и контактной информации в Internet.

Установив адреса или доменные имена компьютеров организации-жертвы, киберпреступник переходит к зондированию компьютерной сети, т. е. определению компьютеров, подключенных в данный момент к Internet. Эти операции киберпреступник может производить с использованием программ traseroute, Visual Route, Neo Trace. Вышеуказанные программы используют графический интерфейс и позволяют определить географическое положение организации-жертвы.

Если при зондировании киберпреступник установит, что на пути к сети установлен аппаратный брандмауэр или маршрутизатор (отдельное сетевое устройство или компьютер-шлюз), или программный файерволл, то он постарается найти в них уязвимость с использованием такой многофункциональной утилиты как Nmap (Network Mapper).

Пресечь действия преступника по зондированию сети могут лишь правильно настроенные системы выявления вторжений, включающие в себя как аппаратные, так и программные средства. К аппаратным средствам относятся маршрутизаторы и брандмауэры, к программным – программные файерволлы (Outpost, Zone Alarm, At Guard), программы-сторожа (Genius).

После предварительного сбора информации киберпреступник переходит к сканированию сети, т. е. определению ее топологии с использованием таких утилит как ping, icmpenum и др. Лучшими утилитами данного класса считаются Nmap, Ping Sweep производства компании Solar Winds, Pinger, написанную хакерами из группы Rhino9. Далее идет процесс определения открытых портов в системе. (Порты – это точки входа в систему, установленные различными приложениями и процессами, ожидающие подключения). Для этих целей злоумышленник использует вышеназванную утилиту Nmap, утилиты Super Scan, Ip Eye. Он может также воспользоваться и так называемым «швейцарским армейским ножом» - утилитой Net Cat (имя файла которой nc.exe?!!!).

Защититься от сканирования сети можно, применив системы выявления вторжений, жестко установив списки доступа на брандмауэрах.

Собрав досье на сеть, киберпреступник переходит к инвентаризации пользовательских ресурсов и учетных записей. Подобные операции можно совершить, воспользовавшись Win2K Resource Kit, а также встроенными командами системы, такими как net view, nbtstat и др. Для выполнения вышеуказанных действий могут использоваться утилиты epdump, enum, SMBGrind, L0phtCrack (LC4),Grinder, Legion и NAT, написанные хакерами группы Rhino9.

Защитой от инвентаризации пользовательских ресурсов и учетных записей является ограничение доступа к открытым портам с номерами 135-139, изменения определенных значений в реестре операционных систем, регулярная проверка компьютеров сети с подключением к открытым процессам.

Если все прошло удачно, т. е. киберпреступник нашел уязвимости в компьютерах сети и воспользовался ими, он получил доступ в сеть. Но теперь ему необходимо закрепиться в сети, расширить свои привилегии, чтобы использовать ресурсы сети не один раз. Для этого киберпреступник использует такие утилиты как регистраторы нажатий клавиш – Invisible Key Logger Stealth (IKS), анализаторы сетевых пакетов – снифферы – BUTTSniffer, NetXRay, утилиты перенаправления портов – fpipe,

Защитой от расширения привилегий является применение антивирусных пакетов, таких как AVP, Dr. Web, Trojan Remover и др., а также их регулярное обновление, использование программ подсчета контрольных сумм файлов.

После того, как киберпреступник стал «главным» в компьютерной сети, он попытается скрыть факт своего присутствия и оставить потайной ход. Для этого он может воспользоваться как встроенными командами операционных систем – attrib +h, так и утилитами Win2K Resource Kit, может использовать наборы «отмычек» - rootkit, и программу eLiTeWrаp, позволяющая объединять несколько программ для асинхронного и незаметного выполнения. Также может использовать программы удаленного администрирования – так называемые «троянские кони» - Net Bus, Sub Seven, Back Orifice, может воспользоваться методами туннелирования (DNS, HTTP,SNMP), а также утилитами из пакета Win2K Resource Kit, и программу eLiTeWrAp, позволяющую объединять несколько программ для асинхронного и незаметного выполнения.

Защитой от сокрытия следов киберпреступником может служить использование программ, подсчитывающих контрольные суммы файлов, ведение журналов регистрации событий, применение обновлений системы и антивирусных баз. Однако в 2000 г. был создан и свободно распространяется пакет разработчика Back Orifice (BO2K SDK), что предполагает появление новых «троянских коней», которые не обнаруживаются антивирусными пакетами.

И в завершение своего преступного деяния киберпреступник должен убедиться, что проделанная им работа не пропадет, а для этого ему в большинстве случаев, необходимо перегрузить операционную систему компьютера-жертвы. Для этой цели киберпреступник приводит систему в состояние DoS ( Denied of Service) путем «бомбардирования» компьютера пакетами ICMP (Smarf-атака) или UDP (Fraggle- атака) с использованием усиливающей сети. Механизм взлома компьютерной сети приведен на Рис.1.

Рис.1. Механизм взлома компьютерной сети

Защитой от приведения системы в состояние DoS является установка фильтров в аппаратных и программных файерволлах.
Таким образом, в данной статье мы рассмотрели лишь приблизительный сценарий взлома компьютерной сети, хотя в реальной жизни он вполне возможен и осуществим.

1. Вакка Д. Секреты безопасности в Internet. – Диалектика. - К., 1997 г.
2. Стенг Д. Секреты безопасности сетей. – Диалектика. - К., 1996 г.
3. Скембрей Д. Секреты хакеров. Второе издание. Безопасность сетей – готовые решения». - ТД Вильямс. - М., 2001 г.
4. Хатч Б. Секреты хакеров. Linux. Безопасность сетей – готовые решения». - ТД Вильямс. - М., 2001 г.
5. Чирилло Д. Обнаружение хакерских атак. Для профессионалов. - ТД Питер. - С.-П. 2002 г.
6. Ежемесячный тематический компьютерный журнал «Хакер». - №№ за 1999-2002г.г.