Как заметать следы.
Новый уголовный кодекс уже принят более двух лет назад, хотя никак не введется в действие. Статьи в нем явно сырые, да и мало специалистов в силовых структурах, способных проводить их в жизнь. Но факт остается фактом: в новом кодексе предусмотрено восемь статей, касающихся компьютерных преступлений. Тут уж, как говорится, "мы впереди планеты всей".
Я решил предоставить на читательский суд статью Ван Хаузера "Как скрывать свои следы". В данном случае, изложение чужих мыслей - не плагиат, а, во-первых, личная скромность, во-вторых, проблема "заметания следов" и избежания расправы - первейшая задача хакеров по всему миру. Некоторые мысли спорны, некоторые покажутся полезными и применимыми к нашей действительности. Авторский текст я счел возможным подвергнуть стилистической и литературной правке.
Автор использует слово паранойя, подразумевая параноидный синдром (наличие признаков, но не самой болезни), который "возникает при наличии расстройств аффекта и восприятий, без расстройств сознания. По содержанию он может быть бредом преследования, ущерба, ограбления. Эмоциональная окраска всегда отрицательная". Процитировано по "Практическому пособию по психиатрии". Т.Т. Сорокина, Ф.М. Гайдук, Р.А. Евсегнеев. - Мн.: Выш.шк., 1991. По возможности в статье термин "параноик", используемый автором в оригинале, будет заменен на "подозрительный". Также, где это было возможно, я намеренно упрощал, даже опускал до примитива, терминологию, дабы сделать текст понятным "непосвященным" пользователям (да простят мне подобные вольности коллеги программисты и хакеры!). Надеюсь, специалист поймет значение этих эвфемизмов и прочтет текст правильно. Также, чтобы не "размахивать красной тряпкой перед быком", я заменял слово хакер, пугающее обывателей, на обтекаемый термин "взломщик".
В некоторых местах Ван Хаузер прибегал к сленгу и аббревиатурам, мною до конца не расшифрованным, поэтому я или траскрибировал их, или опускал неясные места. Полагаю, что читатель извлечет из статьи полезное для себя, а в остальном: "В пианиста не стрелять - играет, как умеет!"
Теория и истоки
I. Введение
Приношу извинения за мой плохой английский - я немец, так что я пишу не на моем родном языке. Даже если ваш английский значительно лучше моего, то не думайте, что этот текст вам ничего не даст. Наоборот. Не заостряйте внимание на ошибках и синтаксисе - важнее содержание этого документа...
Посмею здесь привести слова Конфуция: "Достаточно, чтобы слова выражали смысл".
Замечание:
Этот текст разбит на две части. В первой части содержится изложение общих принципов и теории. Во второй части непосредственно описываются простым языком, шаг за шагом, основы того, что следует делать и чего избегать. Если вам лень читать весь материал, тогда читайте только первую часть. Здесь изложена постановка задач для начинающих Unix-хакеров.
Если вы думаете, что поиск самых последних утилит для взлома это самое важное, о чем нужно думать, и что необходимо постоянно отслеживать их появление, вы не правы. Как вам поможет даже лучшая утилита, если однажды полиция конфискует ваш компьютер, закроет все ваши учетные записи и все перепроверит?
Не стоит даже упоминать о последствиях. Нет, самое важное - это не быть схваченным.
Здесь же снова был бы уместен Конфуций: "Того, кто не задумывается о далеких трудностях, непременно поджидают близкие неприятности".
Самое первое, что необходимо усвоить каждому хакеру - это то, что первое проникновение может оказаться последним, особенно если это первый в жизни взлом сайта, который был, вроде бы, безопасен, так как до сих пор его много раз успешно ломали. (Даже если все было год назад, "они" (хозяева сайта) могут поймать на этот раз!) Бывает так, что хакер был слишком ленив, чтобы позже изменить своим привычкам.
Итак, перечитайте эти разделы внимательно!
Даже опытнейший хакер сможет найти в написанном здесь бит или байт полезного.
И не только хакер. Хотя мысли автора можно признать спорными, но, по моему мнению, изложенное будет полезным и для тех, чья деятельность мало связана с компьютерами. С другой стороны, предвосхищая "прытких" критиков, отмечу, что статья "не инструкция к действию, а информация к размышлению".
Что здесь будет изложено:
Раздел I - то, что вы читаете, или введение.
Раздел II - психологические моменты и как стать параноиком.
1. Мотивация
2. Почему вы должны стать подозрительным
3. Как стать параноиком
4. Быть подозрительным
Раздел III - основы того, что необходимо знать до того, как начинать заниматься хэкингом
1. Предисловие
2. Обеспечение собственной безопасности
3. Ваша учетная запись
4. Журналы регистрации
5. Не оставляя следа
6. Чего следует избегать
Раздел IV - продвинутые техники, о которых следовало бы сделать замечание
1. Предисловие
2. Предотвращение любых трассировок
3. Нахождение и манипулирование журналами регистрации
4. Проверка конфигурации "SYSLOG" (системной регистрации событий)
5. Проверка установленных программ для обеспечения безопасности
6. Проверка администраторов
7. Как "скорректировать" программы, проверяющие контрольные суммы
8. Уловки пользователей для обеспечения безопасности
9. Разное
Раздел V - что делать, когда вы под подозрением
Раздел VI - что делать и что не делать, когда вас схватили
Раздел VII - краткий список лучших программ для сокрытия следов
Раздел VIII - последние слова, которые произносят все "писатели"
Итак, тщательно перечитайте и примите к сведению.
II. Психология
1. Мотивация
Психологический аспект - ключ для успеха во всем.
В реальных схватках админа и хакера соревнуются, в первую очередь, не процессоры, операционки или новые программные технологии. Всегда - это схватка нервных систем, ума, выдержки. Сюда бы я добавил и умение, скорее, дар мыслить нестандартно, чтобы "не выламывать дверь, которая просто открывается в другую сторону". Статистика успешных взломов говорит о том, что до 75% атак было проведено с помощью социальной инженерии. Возьму на себя смелость сказать, что хакер не знакомый с прикладной психологией просто компьютерный хулиган. Предварю обвинения в том, что манипулировать людьми безнравственно, тем, что здесь я имел в виду понимание мотивов людей, умение анализировать тексты, обрушивать на противника сценарный или транзакционный анализ. На деле большинство людей более эмоциональны и примитивны в своей мотивации, чем они сами о себе возомнили.
Воля - это самомотивация, желание продолжать драться, даже если это больно, это самодисциплина, состояние параноика и реалиста, это правильная оценка риска. Воля - необходимость делать всякую чушь, которая не нравится, но которая, тем не менее, важна, даже когда хотелось бы уйти просто поплавать.
Из-за собственной лени однажды я снял пароль со сканера, мне было лень его вводить каждый раз при включении. Не прошло и часа, как мне пришлось об этом сильно пожалеть, когда его хватали "лапы варваров", которым до управления этим сложным прибором, "как питекантропу - до реактивного самолета". Все закончилось более-менее благополучно, но с тех пор я никогда не ленюсь в тех вещах, которые обеспечивают мою безопасность или "сокрытие следов".
Если не можете заставить себя программировать нужный инструментарий, ждать решающего момента для поражения цели, тогда вы далеко не уедете со своим "хэкингом".
Искусный взломщик, добивающийся успеха во всем, должен будет постоянно сталкиваться с этими психологическими требованиями. Это подобно бодибилдингу или диете - вы тогда только научитесь этому, когда реально попробуете.
Даже лучшие знания не помогут вам, пока вы реально не подумаете о мерах безопасности и на деле их не предпримете.
2. Почему вы должны стать подозрительным
Верно, что паранойя в повседневной жизни не то, что сделает вашу жизнь счастливее. Однако верно и то, что если вы не готовы к самому худшему, любое непредвиденное обстоятельство может задеть вас и выбить из равновесия. Вы очень многим рискуете в ваших действиях. В обыденной жизни вам не нужно сильно беспокоиться о "легавых", ворах и тому подобном. Но если вы по другую "сторону баррикад", помните, что вы затрудняете жизнь другим людям, приносите им кошмар, плюс дополнительную работу - и они захотят остановить вас.
Я привел бы созвучные слова из самурайского кодекса чести: "Покидай свое жилище так, словно его окружают сотни врагов". Действительно верно, если отважился на переход через свой Рубикон, то дальше идти нужно без колебаний, помня о том, что "горе побежденным".
Даже если вы не думали, что совершали преступление, на самом деле, вы его совершили. На хакеров быстро начинается "охота на ведьм", и она задевает любого, кого это может коснуться.
Достаточно просмотреть новый УК главу 31 "Преступления против информационной безопасности" статьи с 349 по 355. Видно, что их составлял "на злобу дня" юрист, слабо сведущий в компьютерных науках и компьютерной безопасности. Здесь прослеживается другое, под них можно подвести очень многое или слишком многое. Уже стал анекдотом довод российский хакеров о том, что по УК РФ (белорусский похожий) можно осудить Билла Гейтса за выпуск Windows 98. В самом деле, цитирую статью 354 "Разработка компьютерных программ или внесение изменений в существующие программы с целью несанкционированного уничтожения, блокирования, модификации или копирования информации". Много пользователей хотя бы отдаленно представляют, что происходит с операционной системой при установке 98-ой поверх 95? Windows 98 при установке изменяет системные файлы, отличается своей нестабильностью, склонностью к внезапным перезагрузкам, медленнее своей младшей сестрички. С приватностью пользователей у 98-ой просто беда, уже найдено столько "намеренных" багов, что Путин хочет запретить использование ее в госучреждениях и силовых структурах РФ. Тут отдадим должное "компетентным органам" и бывшему председателю ФСБ. Чтобы все же понять, в чем соль анекдота, еще раз перечитайте статьи в УК.
"Закон суров, но это закон", поэтому исполнять будут!
Печально и то, что вы виновны, пока не доказано обратное!
Презумпция невиновности утопична по свой сути, всегда будет возможность обойти закон как нарушающим его, так и его исполняющим. Надо приготовиться к тому, что придется доказывать, "что ты не верблюд, а хороший парень". Не нужно умничать, но и обратное тоже губительно. Да и "оправдывается тот, кто виноват". Этот психологический прием полезно иметь в виду и вести себя уверенней.
Получив клеймо хакера один раз, вы уже никогда от него не отделаетесь. После того, как однажды вы попали на учет в полицию, вам будет очень трудно найти работу.
Речь не только о том, что "береги платье снову, а честь смолоду". Хакеров недолюбливают за умственное превосходство, что само по себе непростительно, а также за излишнее любопытство и прямоту суждений. Процитирую Сократа: "Если я буду говорить правду - меня возненавидят люди, если я не буду говорить правду - меня возненавидят боги". Но почему-то правоохранительным структурам можно "копаться в чужом грязном белье", а хакеру ни-ни! Дальше не стоит ударяться в политику, но, сделав первый шаг, уже не стоит стесняться: "с волками жить - по-волчьи выть".
В частности, ни одна фирма по разработке программного обеспечения или даже малейшим образом связанная с компьютерами, не возьмет вас на работу - они будут бояться ваших навыков, и вы придете к выводу о необходимости эмиграции или жизнь ваша будет потеряна.
Лишь немногие смогли снова подняться, единожды упав.
Верно, ведь для этого потребуется сильнейшая воля и непробиваемый оптимизм или огромное самолюбие, которое не позволит опуститься даже в кризисных обстоятельствах. Видел я павших духом, спивающихся или в наркотическом дурмане топящих мечты "под ударами жизненной прозы".
Станьте параноиком! Защитите самих себя! Помните, вы все потеряете!
Не пренебрегайте излишними действиями для противодействия отслеживанию!
С давних пор я никогда не оставляю компьютер без присмотра, а уходя, произвожу основательную зачистку "Кремлем". Сюда же я добавил постановку клавиатурного шпиона, ведущего протоколирование всех действий, снимок дисков с помощью инспектора Касперского. Таблицы хранятся зашифрованными на съемных носителях. Тем самым я сделал "рокировку", превратив компьютер "из жертвы в охотника". Допускаю, что я тоже переигрываю, но так чувствуешь себя гораздо увереннее, уезжая надолго по делам.
Не переживайте, если кто-то смеется над вашей подозрительностью!
Не будьте слишком усталыми и не ленитесь изменять журналы регистрации!
Хакер должен делать свое дело на все 100%!
Эдисон, американский изобретатель, высказал похожую мысль: "Гений - это один процент таланта и девяносто девять процентов труда". Типичной чертой любого хакера является не только страсть к компьютерам, это же присутствует и у юзеров и геймеров, а то, что они трудоголики.
3. Как стать параноиком
Если вы прочитали написанное выше и согласились, что это правильно, приняли это спокойно - вы уже превратились в параноика. Но это же должно стать и неотъемлемой частью вашей жизни. Если вы захотите стать хорошим хакером, всегда думайте, кому и что вы говорите и что ваши телефонные звонки и электронная почта, возможно, контролируются. Всегда перечитывайте предыдущий раздел.
Приведу в подтверждение восточную поговорку: "Не хочешь, чтобы узнал враг, не говори даже другу". К телефонам я бы добавил и пейджеры. Их давно наблюдают все, кому не лень. И кому лень тоже...
Если вышеизложенное не помогло вам, тогда подумайте о том, что произойдет, если вас схватят. Останется ли на вашей стороне ваша подружка? Даже когда ее отец с ней жестко поговорит? Хотелось ли вам видеть ваших родителей плачущими? Быть вышвырнутыми из школы, университета, с работы?
Есть известная хакерская шутка по поводу женского интеллекта: "Лучшей моделью женского ума признан датчик случайных чисел". Я бы не стал скатываться до столь уничижительной позиции, но приведу пример из жизни Ментора - хакера, создавшего "Легион Хакеров" и позже "Элитных хакеров". После кражи 30 компьютеров "Apple" он был схвачен в результате предательства своей подружки. Было бы наивным, попав под обвинение правоохранительных структур, даже надеяться на "женское постоянство". Лучше сразу забыть о своей привязанности и смириться с потерей. Век жен декабристов прошел, и те ехали в ссылку в карете и в сопровождении свиты. Не следует посвящать их в свою работу, тем более, сопряженную с риском и нарушением закона - не поймут, да и донесут обязательно. Или разболтают, кому не следует... (и кому следует тоже, женщина - по природе своей - идеальный "public relations").
Даже у родителей, ненавидящих нежеланного ребенка, в трудную для него минуту просыпаются родительские чувства, по "природе их исходящие", и они примут сторону ребенка, как низко бы он ни пал. Так что здесь ситуация тоже прогнозируемая однозначно.
Не оставьте ни малейшего шанса, чтобы это случилось!
Если даже этого не достаточно, чтобы изменить ваше поведение, тогда:
Держитесь подальше от хэкинга!
Вы опасны для всего сообщества хакеров и для ваших друзей!
В жизни, как и в компьютерной сети, рвется самое слабое звено цепи. Человек беспечный к мерам безопасности не только рискует собой, но и подставляет других, он сведет на нет все ваши меры к безопасности, через него как "за нитку размотают весь клубок". Часто бывает и другое: попадается "крутой на нет парень", который все "гарантирует", у которого "есть подвязки" и "все схвачено". Как раз наоборот, ничего он не гарантирует и ничего нигде не схвачено. Даже если это так, то его связи будут вытаскивать в первую очередь его самого, а вас сделают "стрелочником". Таких принято всячески избегать, они опаснее просто беспечных...
4. Быть параноиком
Надеюсь, вы усвоили, почему так важно стать подозрительным. Продолжайте таким оставаться. Одной оплошности или сиюминутной лени будет достаточно, чтобы разрушить вашу жизнь или карьеру.
Всегда помните, почему необходимо поступать именно так, а не иначе.
Завершу статью цитированием наставника Александра Македонского, великого Аристотеля: "Разумный гонится не за тем, что приятно, а за тем, что избавляет от неприятностей".
P.S. Пришлось посетить людей, отказывать во встрече которым уже нарушение закона. На вопрос о сроках введения действия нового Уголовного кодекса и статей, касающихся хэкинга, мне сказали, что ни один сотрудник районного управления не способен ни раскрыть, ни расследовать информационные преступления. Нет во мне "смертного греха" злорадства, посему не скажу, чтобы меня это обрадовало. Скорее обнадежило...
"Поскольку тому, кому отказывают в праве применять нужные средства, бесполезно и право стремиться к цели, то из этого следует, что раз всякий имеет право на самосохранение, то всякий имеет право применить все средства и совершить всякое деяние, без коих он не в состоянии охранить себя".
Томас Гоббс, "О гражданине"
Время от времени я слышу упреки за то, что на страницы компьютерных газет я выношу "чернуху", очередные "технологические страшилки" или, того хуже, призываю совершать преступления, подпадающие под определение информационных. Я позволю себе взглянуть на проблему несколько с иной точки зрения. Процитирую Марка Дж. Эдвардса "Безопасность в Интернете на основе Windows NT": "Прочитав ее [книгу], Вы будете лучше ориентироваться в вопросах защиты своей сети от потенциальных злоумышленников. Почти наверняка и опытные, и начинающие взломщики также прочитают эту книгу и обязательно используют содержащуюся в ней информацию для нападения на Вашу сеть".
Похожий подход к проблеме компьютерной безопасности и необходимыми, в связи с этим, публикациями (распространением) хакерских технологий исповедует CERT (www.cert.org). "Computer Emergency Response Team" (буквально означает: "команда быстрого реагирования по компьютерам") была образована в 1986 году. У этой организации консультативные функции и нет официальных полномочий. Правда, CERT публикует сведения только о тех возможных дырах в безопасности, на которые уже найдено "противоядие" (рекомендации по профилактике).
И последнее: осведомленность в вопросах личной безопасности вообще и компьютерной в частности позволит защитить себя и свое право на приватность куда эффективнее, чем упование на законы или государство, которое "заботится о благе всех, но не каждого..." Эпиграф о том же.
III Основы
1. Предисловие
Вы должны все это знать и уметь применять на практике перед тем, как приступить к своему первому взлому. Все это - основа знаний, без которых вы скоро попадете в беду. Даже продвинутый хакер найдет, в здесь изложенном, что-нибудь новое или просто полезный совет.
2. Обеспечение собственной безопасности
А что, если системный администратор читает вашу почту?
При освещении вопроса "этично (законно) или нет для администратора читать чужую почту" приведу несколько тезисов достойных упоминания. Рассуждения о морали и нравственности сразу оставим для философов и барышень. Администратор имеет право читать почту при техническом обслуживании, тестировке и т.п., другими словами - при выполнении служебных обязанностей для обеспечения работы почтового сервера, системного программного обеспечения. Тоже самое применительно к телефонной или пейджинговой связи. Незаконным будет ознакомление с информацией третьих лиц или использование ее в корыстных, преступных целях. Следующее: кто является собственником средств связи. Если собственником являетесь не вы, то коммерческая или государственная структура вправе контролировать принадлежащие им средства связи и их использование, другими словами - будут смотреть весь трэффик, вас даже не уведомляя. Это общемировая практика. Начиная работать в коммерческой структуре или режимном предприятии и подписывая договор о неразглашении, человек добровольно "поражает себя в гражданских правах", неважно, разъяснили ли ему об этом. Т.е. он может быть подвергнут в любой момент проверке на соблюдение подписанных им соглашений с нанимателем. При требовании правоохранительных структур вас "отдадут" без колебаний, никто и не станет "покрывать" преступления и рисковать лицензией. Поэтому ответ на все это один: шифровать. Или еще лучше: прибегнуть к компьютерной тайнописи (с помощью того же S-tools, например). Тогда вся ответственность за приватность ляжет на вас.
Что если ваши телефонные звонки записываются полицией?
Хочу сказать здесь только одно: если прослушивание не санкционировано прокурором, то материалы будет сложно предъявить в суде в качестве доказательства. Но использовать вашу же болтовню в качестве оперативных материалов будут обязательно.
Что если полиция изымет ваш компьютер со всеми файлами, причастными к занятию хэком?
Если ты не получаешь подозрительную электронную почту, не говоришь о хэкинге (взломе сетей и программ) или фрикинге (взломе телефонных сетей) по телефону, не хранишь компрометирующие или личные файлы на жестком диске, в таком случае вам нечего переживать. Но, в таком случае, вы и не хакер. Взломщики сайтов или телефонов поддерживают контакты с себе подобными и где-то хранят свои наработки.
Шифруйте все критичные данные!
Утилита, шифрующая данные "на лету" на жесткий диск, придется весьма кстати.
Есть много хороших криптопрограмм в свободном доступе в Интернет, которые работают совершенно прозрачно для операционной системы. Пакеты, перечисленные ниже, испытаны и рекомендованы для первоочередного использования хакерами:
Если вы работаете под MS DOS, найдите SFS v1.17 или SecureDrive 1.4b;
Если у вас Amiga - получите EnigmaII v1.5;
Если вы под Unix - возьмите CFS v1.33.
В этот ряд я бы добавил: BestCrypt (c 256-битным Blowfish), SafeHouse 1.80 (c 448-битным Blowfish), PGPdisk 6.02.i.
Программы, шифрующие файлы, можно использовать любые, но лучше взять один из хорошо известных и стойких алгоритмов. Никогда не пользуйтесь экспортированными шифрующими программами, так как в них уменьшена эффективная длина ключа!
Тройной DES;
IDEA;
Blowfish (32-х проходной).
Это правило распространяется и на браузеры. Версии, реализованные для внутреннего рынка США, предпочтительнее аналогов, сделанных "на экспорт", - в них реализованы 128-битные шифры вместо 40-битных. Для обеспечения повышенной приватности можно рекомендовать норвежский браузер Opera. Правда, придется привыкнуть к весьма специфическому интерфейсу, но это "окупается" тем, что шифры в нем 40-, 128- и 156-битные, есть отключение "referrer" (поля, сохраняющего адрес предыдущего сайта) и скорость работы заметно выше, чем у Explorer или Navigator. Но не стоит сильно обольщаться: все вышеупомянутые шифры имеют ограниченное применение в Интернет, т.е. задействованы не у всех сайтов, а также требуют грамотного манипулирования настройками. Для "параноиков" же рекомендовано отключение Cookies, Java, Scripting languages, постоянное изучение брешей в защите браузеров, своевременная установка новых "заплат" от производителей. И подальше держаться от сетей:).
Шифруйте вашу электронную почту!
PGP v2.6.x применяют чаще всего, вы также возьмите его на вооружение.
В PGP версии 5.5 появилась возможность создавать "корпоративный ключ", в версии 6.0 введена возможность "раскалывания ключа" на части, что дает новый простор для управления ключами среди целой группы людей, "связанных одной целью".
Шифруйте ваши телефонные переговоры, если вы обсуждаете критичные темы.
Nautilus v1.5a более чем удовлетворителен для этих целей.
И PGPfone 1.x от Фила Циммермана также создаст массу сложностей, если не заставит пересмотреть направление своей активности любителям слушать чужие разговоры.
В последнее время появилось достаточно много телефонов типа Senao со встроенным скремблером. Не стоит поддаваться "иллюзии защищенности" и сильно надеяться на аналоговый скремблер - это защита только от радиолюбителей. Несколько моделей 900-МГц радиотелефонов Panasonic имеют оцифровку звука и встроенное шифрование. На деле мне приходилось сталкиваться с иным: надпись на коробке и в паспорте была далека от действительности, ни оцифровки, ни шифров не было и в помине. Стоит дать проверить его специалистам, а не верить торговцам, заинтересованным лишь в том, чтобы побыстрее "впарить" вам красивую игрушку. Даже в сервисных центрах, не говоря уже о "фирменных" магазинах, я редко встречал специалистов, способных внятно оперировать радиотехническими терминами. Радиотелефоны не зря окрестили "голубой мечтой шпиона". Стандарты DECT и GSM могут, по крайней мере, претендовать на обеспечение приватности. Но и здесь приватность зависит лишь от того, кто "объект потенциальной угрозы".
Шифруйте ваши терминальные сессии при подключении к Unix-системе. Возможно, кто-то перехватывает пакеты или осуществляет мониторинг вашей телефонной линии.
SSH достаточно безопасен;
DES-Login тоже приемлем для безопасности.
Используйте стойкие, неугадываемые пароли, которых нет ни в одном словаре. Они должны быть случайными, но хорошо запоминаемыми. Если длине ключа разрешено превышать 10 символов, воспользуйтесь этой возможностью и выберите слегка модифицированное предложение из книги.
Хотя это не скромно, но на тему составления паролей я рекомендовал бы обратиться к моей статье "Генерация ключей", опубликованной в 39 номере "Компьютерных вестей" за 7 - 13 октября 1999 года: там "информации к размышлению" более чем достаточно. Копия статьи есть у меня на сайте.
Шифруйте телефонные номера друзей-хакеров дважды. И звоните им только из телефонов-автоматов, "рабочих" телефонов и т.д., если только вы не шифруете разговоры.
Здесь, у Ван Хаузера очевидный просчет в построении безопасных систем. Если звонить самому только из телефонов-автоматов или случайных телефонных номеров постоянным абонентам, то это не сильно усложнит задачу "охотникам", а только отодвинет все по времени. Это лишь перекладывание ответственности за "провал" с себя на своих респондентов и подставка их "под удар". Поставят на прослушивание их номера, и дальнейшая беготня по городу в поисках таксофонов просто теряет всякий смысл. Это во-первых. Во-вторых, на многих телефонах-автоматах старого образца коряво выбиты номера. Они частенько высвечиваются на АОН-ах ваших друзей. И ваших "благодетелей" тоже... Всего-то около двух минут достаточно, чтобы сделать SQL-запрос в базе данных и определить ваше местонахождение. Далее вы побежите "с сопровождением". При условии, конечно, что вы кого-то основательно "достали". Третья рекомендация, которую я посмею добавить, - в автоматах, имеющих функцию повторного набора номера, сбрасывайте последний номер (тот, куда вы звонили), сразу после разъединения, набирая какой-нибудь безобидный. "Службу точного времени", например. Телефонные аппараты с импульсным набором (как дисковые, так и кнопочные) выдают сильные радиоимпульсы при наборе номера. Эти импульсы можно с уверенностью перехватить простым транзисторным приемником на расстоянии до 5 метров или сидя в соседней квартире. Не буду сильно отклоняться в сторону, превращая статью по компьютерной безопасности в пособие по электронной разведке. Я лишь привел факты, лежащие на поверхности.
Телефонная связь прекрасно приспособлена для "анализа активности". Краткая статистика телефонных звонков доступна по предъявлению паспорта с пропиской и необходима для контроля и оплаты услуг самими владельцами. Телефонные станции имеют массу документированных и недокументированных сервисов (услуг, хотя здесь у меня натяжка в терминологии). Уступлю слово фрикерам (взломщикам телефонных сетей) при изложении этих вопросов. Хотя телефонные сети это, по сути, самые крупные компьютерные сети в мире, но это был бы уход в сторону от компьютерной темы. Завершу телефонную тему рекомендацией тем, кто всерьез интересуется проблемами телефонной безопасности и приватности, найти в Интернет официальные документы, касающиеся СОРМ (системы обеспечения розыскных мероприятий) применительно к АТС (копии выложены у меня на сайте). Эти меры, проводимые ФСБ, облечены в законодательную форму, поэтому, во-первых, не могут быть предметом засекречивания, а во-вторых, с небольшими допущениями запросто проецируются на остальные страны СНГ. Уверен, что своей "масштабностью" они впечатлят многих и заставят не раз вспомнить поговорку: "Это не телефонный разговор".
Новичку необходимы лишь PGP, программа, шифрующая файлы, и утилита для шифрования данных на диск "на лету". Если же вы всерьез погрузились в хэк, помните о необходимости шифровать все.
Сделайте резервную копию своих данных (zip-накопитель, другой жесткий диск, CD, магнитную пленку), естественно, зашифрованную, и храните ее в каком-нибудь месте, но не своем доме, а у друга, члена семьи, которые никак не связаны с компьютерами. В случае сбоя в данных, пожара или внезапно случившегося налета "легавых" у вас всегда будет резервная копия.
Последнее напоминание о том, что резервные копии необходимо делать не только взломщикам, но и "рядовым" пользователям. И лучш5?,чтобы эти друзья даже толком не представляли, что за данные они хранят.
Сохраняйте рабочие записи так долго, как они на деле необходимы. И не дольше. Безопаснее держать их в зашифрованном файле или на шифрованном разделе. Сжигайте бумаги, как только в них отпала необходимость. Можете также переписать их, используя криптоалгоритм, известный только вам. Никому его не сообщайте и не используйте этот шифр слишком часто - его могут подвергнуть криптоанализу и легко вскрыть.
Что касательно меня, то я вообще уже практически перешел на "безбумажную" технологию и не держу записей, а блокнот, находящийся при мне, - просто пустой блокнот-отрывашка. Визиток знакомых не держу и не ношу при себе. Все необходимые телефоны помню наизусть, электронная копия под шифрами и продублирована в Интернет. "Так проще жить"...
В самом деле "крутые", а также чрезмерно подозрительные хакеры должны принимать во внимание существование проекта Tempest (Transient Electromagnetic Pulse Emanations Standard, что по-русски называют ПЭМИН - проникающее электромагнитное излучение. Речь идет об оборудовании электронной разведки для перехвата и декодирования излучений). "Легавые", шпионы и хакеры могут контролировать все ваши действия. Прекрасно экипированный человек может получить все, что ему необходимо: электромагнитное излучение может быть перехвачено с расстояния более ста метров и выдать содержимое экрана монитора, лазерный луч, наведенный на окно, может перехватить разговоры или расшифровать высокочастотные сигналы клавиш, нажимаемых на клавиатуре... Другими словами, возможности безграничны.
"Возможности человеческого разума", может быть, и безграничны. Немцу Ван Хаузеру проще об этом рассуждать. Германия государство побогаче, да и электроника там подешевле. Стоимость подобных игрушек может идти за десятки тысяч у.е., и поэтому ни покупать, ни использовать их для баловства никто не станет. Даже спецлужбы.
Противодействие технической разведке оснащенной подобной спецтехникой, - задача непростая и крайне обременительная для финансов. Это мало походит на ловлю "жучков", купленных на радиорынке, с помощью китайского приемника за две тысячи. В подобных случаях специалисты говорят не о построении абсолютно безопасных систем, а о закрытии тех или иных "технических каналов утечки информации". Это - первое. Стоимость оборудования для противодействия, эффективно закрывающего брешь, гораздо (иногда на несколько порядков) больше стоимости средств "нападения". Это - второе. Затраты на защитные мероприятия допустимы в пределах от 10 до 50% от стоимости защищаемой информации (объекта). Это - третье. Когда планка подходит к 50%, следует подумать о пересмотре всей стратегии и тактики. Если только вы, в самом деле, не параноик. По врагам судят о человеке и его ценности. Если против кого-нибудь бросят подобный арсенал, то стоит гордиться этим. Значит, ты чего-то стоишь. И начать переговоры. "Где невозможен брак по любви, возможен брак по расчету", - говорят в таком случае англичане. Или переместить информацию в более защищенное место. Эти простые правила применимы не только для противодействия технической разведке, но и для построения безопасных компьютерных систем, в частности.
Превентивные, не стоящие больших затрат, меры могут быть предприняты путем использования сетевых фильтров и подобного оборудования, которое уже доступно в продаже, но я не думаю, что эти меры оградят приватность до должного уровня.
"Присоединяюсь к мнению предыдущего оратора". Для примера приведу сравнение: стоимость простейшего жука (миниатюрного радиомикрофона) порядка 15-20 "уголовных единиц", стоимость прибора, способного ему противостоять, раз в 20 больше. Не говоря уже о необходимости прекрасных навыков по работе с ним, хороших теоретических и прикладных знаниях, без которых он будет полезен "как мартышке очки".
P.S. Хотелось бы закончить статью на пессимистичной ноте. "Граждане, Минздрав последний раз предупреждает: азартные игры с государством наиболее опасны для Вашего здоровья". Особенно, если вы толком не понимаете даже правил этой игры...
"Ученики мои!
Думаете ли вы, что я что-то скрываю от вас?
Нет, я ничего от вас не прячу.
Я говорю лишь то, что вам самим должно быть ведомо".
(Конфуций)
Эта статья продолжение серии статей об элементарных навыках компьютерной безопасности и разбор публикаций Ван Хаузера "Как скрывать свои следы".
3. Ваша учетная запись
Поговорим о вашей учетной записи. О вашей реальной учетной записи, полученной в школе, университете, на работе, у провайдера, которая ассоциирована с вашим именем.
Учетная запись (в английском варианте - "Account", или еще один часто употребляемый синоним - ID, что является аббревиатурой слова "идентификатор") - это способ идентификации пользователей компьютерных систем. Большинство систем при первой регистрации потребуют дать имя учетной записи и, обычно, но не всегда, завершить регистрацию введением пароля. Это достаточно общее определение. Учетные записи - это UIN в ICQ, "Nick" в чатах, "имя пользователя в" в Windows, то, что пишется "до собаки" ("@") в адресе электронной почты. Правильно этот значок читается как "эт" (английское "at"). Обычно имя учетной записи, ее права и пароль дает вам администратор при регистрации или вы сами, регистрируясь на бесплатных серверах типа "Yahoo".
Учетные записи, чаще всего: либо часть имени и фамилии пользователя ("tshimomura" и "kmitnik", соответственно), либо часть функций (прав) пользователя в компьютерной системе ("Administrator", "dbadmin", "webmaster"), либо аббревиатура структурного подразделения предприятия вкупе с учетным номером (по ведомости, например), либо, то, что придумано кем-то самостоятельно.
Если удалось проследить определенную зависимость в названиях учетных записей, то, возможно, и угадать другие, в особенности, если использованы номера сотрудников, названия подразделений или есть список сотрудников предприятия, полученный каким-либо другим путем.
В руководствах западных хакеров по взлому я набрел на следующую градацию учетных записей. Она не претендует на оригинальность, но представляет интерес, и я счел возможным ее воспроизвести, дав в скобках английские эквиваленты. Но я не везде даю буквальный перевод. Учетные записи были поделены на четыре типа: "бог" ("God"), "привилегированная" ("Special"), "обычная" ("Regular") и "гостевая" ("Guest").
Учетная запись с правами "бога" позволяет делать с системой все, что угодно, - от добавления новых пользователей до изменений любых прав, привилегий и паролей и полной реконфигурации системы. Она должна всегда присутствовать в системе и, как правило, количество неудачных регистраций по ней не ограничено. И для хакеров учетная запись с такими правами является основной мишенью. "Привилегированные" учетные записи, обычно или специальные записи, используемые самой системой, или это записи, выполняющие урезанные административные функции без предоставления полного доступа. "Обычные" записи - это записи, заведенные для "рядовых" пользователей, для отработки рутинных задач. "Гостевые" учетные записи создаются для использования любым (сторонним) пользователем, часто просто для удобства тех, у кого нет постоянной учетной записи для входа в систему. Примеры таких записей - это анонимный вход по ftp, запись, обслуживающая HTTP-сервис, для получения HTML-страниц посетителями сайта. Для гостевых записей типичны жесткие ограничения в правах доступа к системе, вход без пароля, неограниченное количество регистраций, особенно, если эта система публичного доступа.
Деление учетных записей на группы первоначально было создано для удобств администрирования. То есть, вместо назначения прав доступа к разделяемому ресурсу или сервису, для каждой учетной записи назначаются права для всей группы, куда входят необходимые записи, заведенные для пользователей, которым требуется легальный доступ. Современные операционные системы позволяют одной учетной записи входить в несколько групп.
Никогда не нарушайте следующие правила:
Никогда не совершайте ничего незаконного или подозрительного, используя вашу реальную учетную запись!
Никогда даже не пробуйте телнетиться к взламываемому хосту!
Списки рассылки по теме безопасности можно смело читать с этой учетной записи.
Но все, что может кому-то показаться связанным с хэкингом, необходимо или зашифровывать, или сразу же удалять.
Никогда не оставляйте, не храните хакерские утилиты или утилиты для обеспечения безопасности на дисковом пространстве, отведенном под учетную запись.
Мест для этих целей (создания контейнеров или тайников) в Интернет более чем достаточно. "Geocities" дает бесплатно 15 Мb для размещения сайта. Или, послав себе на ящик, открытый на бесплатном сервере, сообщение с вложением, далее переместить его в специально созданную в ящике папку. После, открыв свой ящик, можно воспользоваться файлом, содержащим, к примеру, копию электронной записной книжки с необходимыми телефонами. Кроме повышенной мобильности - вы уже не привязаны ни к определенному месту, ни к определенному компьютеру, - это повысит и уровень вашей безопасности. Еще: файл-вложение, критичный по содержанию, можно зашифровать. Тем же Norton Secret Stuff, например. Или запрятать в GIF-картинку с помощью S-Tools. Похожей методикой пользовался, уже ставший легендарным, Кевин Митник, хранивший данные о взломанных сотовых телефонах на "чужих" компьютерах.
По возможности используйте POP3-протокол для подключения к почтовому серверу и скачивайте вашу почту с одновременным удалением (или сделайте это по-другому, если вы достаточно подкованы в Unix).
Никогда не выдавайте название вашего настоящего почтового ящика, если ваше реальное имя прописано в вашем ".plan"-файле и/или в поле "geco" (помните о команде "EXPN" из "sendmail"...).
В Интернет появилось много бесплатного сервиса "форвардинга" (в английском варианте "forwarding") электронной почты. Типичный пример: сервер www.bigfoot.com. Это еще стали называть "пожизненным" адресом. Но при смене дат 2000 года как раз Bigfoot ("снежный человек") куда-то пропал на две недели.
Зарегистрировавшись на Bigfoot, вы вводите название своего реального почтового ящика и, если необходимо, адрес "домашней страницы". При посыле почты на Bigfoot, он автоматически пересылает (форвардит) на ваш реальный e-mail или переключает браузер на реальный адрес Homepage. Мои вечные адреса выглядят следующим образом: e-mail - werebad@bigfoot.com, homepage - www.bigfoot.com/~werebad, соответственно.
Это дает несколько преимуществ.
Первое: вы можете несколько раз за свою жизнь поменять место работы, провайдера, но ваши респонденты всегда смогут послать вам письмо, абстрагируясь от перемен в вашей жизни или сиюминутной политической конъюнктуры, и посмотреть всегда вашу страницу, сколько бы раз вы ни меняли хостинг.
Второе: вы закрываете реальное имя почтового ящика от спаммеров и других недоброжелателей.
Третье: Форвард-серверы имеют возможность фильтрации сообщений по заранее заданным критериям. Однажды, два года назад, мне тоже пришлось этим воспользоваться.
Реальная история.
Настырная девица, поднаторевшая в околохакерских технологиях, решила послать мне "свое фото из Испании", несмотря на то, что ни я, ни мои "товарищи по станку" категорически не давали ей на это разрешения. Тогда она воспользовалась программой мэйл-бомбером, позволявшей многократно посылать одно и то же сообщение с заданными интервалами времени. Со словами "моему любимому, мое фото, 500 раз, каждые 30 секунд", она инициировала атаку моей почты и ушла с работы. После получения 17 копий фото я, поняв, что происходит, задействовал фильтры, которые стали "отфутболивать" ее сообщения к ней обратно на ящик. Придя в понедельник на работу, а все происходило в пятницу вечером в конце рабочего дня, она пришла в скверное расположение духа - "рухнул" ее ящик, а не мой. Больше она не отваживалась на компьютерные хулиганства в мой адрес.
Случаются ситуации, когда демоны-мейлеры дают сбой и начинают, зациклившись, посылать поток сообщений. Тут форвадер с фильтрами придется кстати, закрыв реальный ящик от хлама, происходящего от программных неполадок. Так что, форвадер-сервер спасает не только от не в меру обнаглевших "сетевых" девиц.
Теперь немного горечи. В последнее время появились почтовые клиенты, имеющие возможность создавать запрос подтверждения чтения письма (строка "X-Confirm-Reading-To: e-mail" в заголовке письма) или подтверждения доставки (строка "Return-Receipt-To: e-mail" в заголовке письма). Поле "e-mail" - адрес, куда высылается подтверждение. Это уверенно и просто позволяет пробить форвардера и выяснить реальный адрес пересылки. Кроме того, анализируя полученный текст подтверждения, можно проследить маршрут пересылки подтверждения, реальный IP-адрес респондента, время чтения письма, далее эти данные использовать для идентификации личности или места (времени), с которого читаются письма. Последнее: строка "X-Sender" в заголовке письма может также выдать название реальной учетной записи.
Как с этим бороться, тема отдельного обсуждения, посему закончу словами Конфуция "В хорошем разговоре не все говорится".
Название почтового ящика давайте только тем, кому можно доверять и кто так же предусмотрителен и предпринимает меры безопасности, потому что, если схватят их, вы можете быть следующим (или если это окажется "легавый", а не хакер).
Это же правило можно распространить и на номера телефонов. Продвинутые хакеры для повышения уровня своей приватности создают несколько параллельных "легенд", почтовых ящиков (сайтов) соответственно. Другими словами, заводят одну учетную запись для деловой переписки, другую - для личной, еще одну - для "черных" дел. Открыть "бросовый" ящик на бесплатном сервере вроде "Hotmail" и закрыть его через полчаса задача по силам любому. Посмею привести последнюю рекомендацию: тяжело проверять постоянно более трех ящиков. Ну, только если "для вас жизнь не стала сплошной войной и борьбой за выживание":).
Обменивайтесь почтой с другими хакерами, только если она зашифрована (PGP, например). Системные администраторы зачастую лазят по каталогам других пользователей и читают чужую почту! Или еще один хакер может взломать ваш сайт и получить ваши материалы!
Никогда не используйте свою учетную запись для того, что выдает ваш интерес к хэку.
Здесь стоит помянуть "волчий закон" в хакерской интерпретации. Как волк ни охотится вблизи своего логова, а встретив рядом охотников, завлекает их, пытаясь увести в сторону, так и "продвинутые" хакеры не атакуют ни с домашних компьютеров, ни с рабочего места (места учебы), ни с компьютеров своих друзей. Показательно то, что во время успешных облав на хакеров в России их "срывают за плечи" с рабочих мест во время проведения "противоправных деяний". Очень часто прямо в учебных корпусах. Для доказательства вины нужно успеть взять с поличным и ни в коем случае "не выключать компьютер, с которого атаковали". Так что, "свет внезапно не пропадет, и винчестер в окно выбрасывать не придется". Тем, кто хочет лучше разобраться, как проводятся оперативные и следственные действия правоохранительными структурами, рекомендую проработать книгу: "Крылов В.В. Информационные компьютерные преступления. - М.: Издательская группа ИНФРА·М - НОРМА, 1997". Я до сих пор ее вижу в продаже. Прекрасный постатейный разбор дан в статье "И снова кризис жанра" Павла Протасова. Но подготовкой, программированием утилит, просто тестами заниматься на "своих" компьютерах вполне допустимо, хотя и нежелательно. Я заканчиваю полемику с Самусенко.
Вторая опасность, о которой помянул Ван Хаузер - это возможность захвата учетной записи и материалов, наработок другим хакером. Среди компьютерных взломщиков есть особая, я бы сказал, "элитная" категория, которую называют метахакерами. Это хорошо подкованные и прагматичные люди, наблюдающие за другими хакерами, пользующиеся результатами их труда, и, нередко, "подставляющими их под удар". Закончу мысль цитатой из Евангелия: "Взявший в руки меч от меча и погибнет". Об этом тоже следует не забывать...
Допустимо проявлять интерес к проблемам безопасности, но не более того.
Что мы и делаем:).
"О божественное искусство тайны и непостижимости!
Благодаря тебе искусный мастер не оставляет следов.
Благодаря тебе искусный мастер не издает ни звука.
И благодаря тебе судьба недруга в его руках".
Сунь Цзы "Искусство войны"
Это четвертая часть, продолжающая цикл статей Ван Хаузера "Как скрывать свои следы". По возможности я буду и далее снабжать этот обзор своими комментариями и дополнениями применительно к Windows-системам. Вопросы взлома и защиты систем, работающих под управлением Novell Netware, рассматриваться не будут.
4. LOG-и (Журналы регистрации активности)
Существует три важных журнала, протоколирующих активность:
"WTMP" - регистрация начала и завершения каждого сеанса, со временем входа и выхода из системы, время регистрации, "TTY" и именем хоста.
"UTMP" - содержит информацию об on-line пользователях, подключенных в данный момент.
"LASTLOG" - содержит информацию о том, откуда происходят подключения.
В Windows NT также есть три "штатных" журнала регистрации активности:
"AppEvent.Evt" - журнал приложений ("application log"), протоколирующий события, связанные с конкретными приложениями, такие как: программой диагностики источника бесперебойного питания, программой резервного копирования, другие запланированные по регламенту (конфигурации системы) процедуры.
"SecEvent.Evt" - журнал безопасности ("security log"), протоколирующий события, касающиеся защиты, такие как: неудачные попытки регистрации в системе, доступа к ресурсам на основании встроенных или установленных "политик безопасности".
"SysEvent.Evt" - системный журнал ("system log"), протоколирующий события, связанные с работой самой операционной системы, например: загрузка (выгрузка) драйверов, запуск (остановка) сервисов, проверка свободного места на диске и т.д.
В Windows NT при установке IIS ("Internet Information Server") может быть запущен журнал регистрации событий о работе запущенных служб. Журналы в IIS могут быть двух видов: текстового файла или базы данных, совместимой с ODBC.
Есть и другие журналы, но о них речь пойдет в разделе о "продвинутой технике". Каждое подключение через "telnet, "ftp", "rlogin" и через некоторые системные "rsh" регистрируется в этих журналах. Очень важно удалить следы своей активности из этих журналов, если вы проводили взлом, в противном случае из них выяснится:
А) точное время, когда вы проводили взлом
Б) с какого места происходило ваше подключение
В) как долго вы были в on-line и характер ваших действий
Никогда не удаляйте log-файлы. Это самый простой способ, чтобы показать администратору, что машину посетил хакер. Найдите программу для модификации лог-файлов. Часто отзываются о ZAP или ZAP2 как о самых лучших, но это не так. Все что они делают - это забивают нулями данные о последнем подключении. CERT уже выпустил простые утилиты, проверяющие эти забитые нулями записи, - что легкий путь по выявлению хакеров, для администраторов в том числе. Когда администратор узнает, что кто-то получил доступ на уровне "корня", весь ваш труд станет напрасным. Еще одно важное замечание по ZAP - она не сообщает о том, что не смогла найти журналы регистрации, поэтому сами перепроверьте пути перед компиляцией! Достаньте другую утилиту, реально изменяющую данные (такую как CLOAK2) или удаляющую записи (такую как CLEAR).
Обычно у вас должен быть доступ к "корню" для изменения лог-файлов (это не касается старых версий систем, у которых был глобальный доступ на запись к "UTMP" и "WTMP"). Что можно сделать, если доступ на уровне "корня" получить не удалось? Не очень многое: подключитесь через "rlogin" к компьютеру, где вы были, чтобы добавить запись "LASTLOG", не привлекающую особого внимания, которую увидит пользователь, подключаясь следующим. Он ничего не заподозрит, если увидит "localhost".
Много версий UNIX имеют ошибку в команде "login". Когда эта команда еще раз запускается на исполнение, после того как вы уже подключились к системе, она перезаписывает поле "login-from" в журнале "UTMP" (в котором содержится информация о том, откуда вы пришли!) вашим текущим "TTY".
Где эти лог-файлы размещаются по умолчанию?
Это зависит от версии UNIX.
"UTMP"
"/etc", "/var/adm", "/usr/adm", "/usr/var/adm", "/var/log"
"WTMP"
"/etc", "/var/adm", "/usr/adm", "/usr/var/adm", "/var/log"
"LASTLOG"
"/usr/var/adm", "/usr/adm", "/var/adm", "/var/log"
В некоторых старых версиях UNIX данные о последних подключениях записываются в "$HOME/.lastlog".
Журналы в Windows NT располагаются в "%root%\SYSTEM32\CONFIG". Хакеру не стоит сильно беспокоиться о журнале приложений "AppEvent.Evt", а обращать серьезное внимание на записи в системном журнале ("SysEvent.Evt") и журнале безопасности ("SecEvent.Evt"). "По умолчанию" легальные пользователи имеют доступ "на чтение" системного журнала. И если есть разрешение, то, при желании, можно его просмотреть и увидеть, остались ли в нем следы вашего визита. Если это так, необходимо подумать, как добавить записи от других пользователей, подобных вам, регистрируясь в системе с других учетных записей.
5. Не оставляя следа
Я встречал много хакеров, которое удаляли себя в журналах регистрации. Но они забывали стереть другие следы, оставшиеся в машине: файлы в директориях "/tmp" и "$HOME".
История оболочки командного процессора.
Она будет меняться в зависимости от того, какой пользователь подключился в данный момент. Некоторые оболочки оставляют файл истории (зависящий от конфигурации системного окружения), со всеми набиравшимися командами. Они - злейший враг для хакера. В данной ситуации лучше всего - это запустить самой первой командой новую оболочку командного процессора и проверять всякий раз файл истории в вашей директории "$HOME".
Файлы истории:
"sh"
".sh_history"
"csh"
".history"
"ksh"
".sh_history"
"bash"
".bash_history"
"zsh
".history"
Резервные файлы:
"dead.letter, *.bak, *~"
Другими словами, перед отключением выполните команду: "ls -altr".
Вот пример четырех команд для "csh" (оболочки), удаляющие файл ".history", не оставляя никакого следа, перед завершением сеанса.
"mv.logout save.1"
"echo rm.history>.logout"
"echo rm.logout>>.logout"
"echo mv save.1.logout>>.logout"
История работы пользователя в Windows-системе кроме специальных журналов, протоколирующих события, хранится в системном реестре. Об этом у меня был цикл из трех статей в КГ, опубликованных в номерах с 15 по 17, под общим заголовком "Анализ активности". Копии есть у меня на сайте. Правда, следует сделать оговорку: "анализ активности", рассмотренный в статьях, велся применительно и преимущественно к локальным Windows-системам.
6. Чего следует избегать
У большинства компьютерных систем пароль пользователя участвует как параметр в криптоалгоритме для генерации хэш-значения ("hash" - дословно мусор). Для справки: хэш-функции широко используются в базах данных или в языке "Java" для сопоставления каждому объекту уникального значения. Однако, уникальность хэш-значения для каждого объекта в Java, да и не только в Java, не более чем идеализация, и у разных объектов (и у значений хэш-функций после криптопреобразования с участием пароля) хэш-значения могут совпадать. На этом принципе основана криптоатака под названием "коллизия паролей". Следующее требование, которое предъявляется хэш-значению - это отсутствие возможности или сложность в реальном масштабе времени на реальных компьютерных системах восстановить оригинальное значение по соответствующему хэш-значению.
Далее хэш-значение, сгенерированное после введения пароля, сравнивается со значением, хранящимся в системе. Если значения совпали, то пароль и пользователь, соответственно, считаются легальными. Это общий принцип проверки при регистрации в системе. Хотя бывают более сложные протоколы регистрации, когда идет проверка путем так называемого "рукопожатия", при которой клиент и сервер обмениваются паролями и проверяют валидность друг друга.
Процесс взлома пароля чаще всего состоит из получения доступа к файлу, хранящему пароли (хэш-значения) пользователей, последующему его копированию и, затем, подбору паролей до тех пор, пока не совпадут хэш-значения. В реальности хэш-функции или слабы, или имеют специально поставленные "люки", и одному значению могут соответствовать несколько паролей (коллизия) либо иметь "универсальные пароли". Перебор через сеть, без получения копии файла с паролями, я здесь не рассматриваю, это тоже практикуется, но слишком медленно, в особенности, если атака идет не через локальную сеть.
Далее я, в общих чертах, покажу самые ходовые способы атак на пароли. Это информация вряд ли представляет какой-либо интерес или новизну для хакеров, скорее это "информация к размышлению" для пользователей.
Для взлома пароля практикуют в основном три метода:
1. Подбор "социально-ориентированных" паролей. Другими словами, многие пользователи из-за собственной лени или отсутствия фантазии для пароля используют само имя учетной записи (грубейшая ошибка, какую вообще можно совершить), либо берут слово из своей жизни: свое имя, часто - имя любимого человека. Об этом у меня была статья в Компьютерных вестях "Слабые пароли", опубликованная в 8(239) номере за 4-10 марта 1999 года. Копия есть у меня на сайте. Подобное "головотяпство" встречается часто (до 30% случаев), на этом допущении был основан знаменитый "сетевой червь" Морриса. И этой "рабочей гипотезой" широко пользуются начинающие хакеры.
2. Атака "грубой силой" ("brute force" в английском варианте) или прямым перебором. Здесь имеется в виду простая проба перебором всех возможных комбинаций, пока не будет найдено совпадение хэш-значений. Утилиты для атак "грубой силой" имеют встроенные функции задания диапазона символов и максимальную длину пароля.
3. Атака "по словарю" подразумевает перебор возможных (если точнее, то прогнозируемых) вариантов, хранящихся в словаре. Кроме возможности подключения новых словарей, новейшие утилиты имеют функции постановки "фильтров": замены символов в заданной позиции, превращающих, например, слово "elite" в "e1i4e" или "idiot" в "1d10t", или задания правил манипуляции со словами: склейка двух или более слов, перестановка символов в обратном порядке, добавление в начало, в конец, в середину слова служебных символов и т.д.
4. Похищение пароля. Для этого используют разрушающие программные средства во всех вариантах: "клавиатурных шпионов", "троянских коней", "вирусов-разведчиков". Суть в перехвате клавиатурного ввода, копировании содержимого окна с введенным паролем и последующей его передачей по сети, сохранении в файле. Также используется так называемое "подставное окно", которое эмулирует "настоящее", и после введения пароля выдается ошибка о том, что пароль "неверен", пользователь вводит пароль еще раз, но уже в "настоящее" окно. Рекомендую следить за окнами тем, кого это действительно заботит.
4. Атака "по открытому тексту". Это уже "чистейшей воды" криптоанализ. Здесь для успешной криптоатаки нужна часть файла, о которой точно известно, что она хранится в зашифрованном файле. Это широко практикуется, например, при взломе архивов, закрытых паролем, и сокращает время подбора пароля до считанных минут. Так что пользователям, ведущим "борьбу с проникновением извне", следует тщательно удалять временные файлы, файлы резервных копий и проводить зачистку свободного пространства и файла "виртуальной" памяти.
Более продвинутые методы "компрометации шифросистем" или криптоанализа здесь не будут рассматриваться.
Не взламывайте пароли ни на каких машинах, кроме своей собственной и только на защищенном разделе. Если вы ломаете их, например, в университете и "корень" (root) видит ваш процесс, к тому же администратор проверит - в "истории" засветится не только ваша хакерская учетная запись, но и информация о сайте, с которого взят файл с паролями, и весь университет будет таращить на вас глаза. Скачайте данные с паролями и ломайте их на стороннем компьютере в фоновом режиме. Нет необходимости иметь много "ломанных" учетных записей, достаточно нескольких.
Windows 95/98 хранит свои пароли к "экранной заставке" ("ScreenSaver") и к "разделяемым" ("shared") ресурсам - в системном реестре и Пароли пользователей на вход в систему в файлах с расширением "*.PWL", находящимся в "%WinDir%\<имя_пользователя>.PWL", где "%WinDir%" - каталог, в который установлена Windows. По умолчанию папка "C:\Windows". Переменные окружения и каталог Windows можно легко вывести командой "set", набрав ее в DOS-сеансе в командной строке.
Учетные записи пользователей в Windows NT ведет SAM (security account manager - "диспетчер учетных записей"). Размещение базы данных пользователей находится в "\SYSTEM32\CONFIG\SAM", обычно глобально доступной "на чтение", однако, при работе ОС доступ к ней заблокирован, так как она используется компонентами системы. Возможно наличие в системе файлов "SAM.SAV", которые будет разрешено читать и которые тоже нелишне будет взять для получения информации о паролях. В процессе инсталляции Windows NT копия базы данных с паролями, в которой будут только гостевая и администраторская учетные записи, помещается в "\REPAIR". Этой копии вполне хватит при условии, что администратор не сменил пароль. Если администратор обновил диски для аварийного восстановления, то копия базы данных паролей "SAM._" будет в каталоге "ERD".
В системном реестре Windows NT информация об учетных записях пользователей с их правами и паролями хранится в разделе "HKEY_LOCAL_MACHINE\SAM". Файл резервной копии "SAM.LOG" тоже может быть мишенью для хакерских атак. Обобщая, можно сказать, что для получения доступа к паролям с последующей на них атакой необходимо искать те или иные версии "SAM.*" файлов.
Файл с похищенными паролями рекомендовано хранить зашифрованным и открывать только для "работы". Если его обнаружат у вас, он будет важной уликой, и не в вашу пользу. Необходимо иметь также файл с легальными паролями (своими собственными). При желании можно импортировать базу данных с учетными записями взламываемых данных. При раскрытии вашей активности можно будет сослаться на то, что вы были заняты "реставрацией" собственных паролей или тестированием системы, хотя это не лучшее оправдание.
Если вы запускаете критичные утилиты, такие, как ypx, iss, satan, или взламываете программы, переименуйте их перед запуском или используйте немного общих данных для обмена с работающей программой, присутствующей в списке процессов. Любой пользователь подкованный в безопасности (и вне сомнения администратор) поймет, что происходит, когда увидит 5 ypx программ, работающих в фоновом режиме... И, конечно, если это возможно, не вводите параметры в командной строке, когда программа поддерживает интерактивный режим, например, такая как telnet. Наберите "telnet" и затем лишь "open target.host.com", не засветив имя целевого хоста как параметр в списке процессов.
Атака "по словарю" затребует скоростных дисковых ресурсов, тогда как для атак "прямым" перебором нужен быстрый процессор. "Прямой перебор" может существенно захватить вычислительные ресурсы, поэтому процессы, запущенные утилитой, по возможности, необходимо перевести на пониженный приоритет ("idle"), иначе машина, однопроцессорная в особенности, может просто "впасть в коллапс". Windows 95, в отличие от NT, не имеет возможности манипулировать приоритетом процессов встроенными средствами. Для этого я бы рекомендовал утилиту PrcView для Windows 9.x и Windows NT (бывший PView95), позволяющую менять приоритеты и "убивать" процессы.
Компьютеры с медленным процессором, но с высокоскоростными жесткими дисками лучше подходят для атак "по словарю", тогда как компьютеры с быстрым процессором, но "слабым" диском лучше использовать для атак "грубой силой".
Далее я приведу список утилит для взлома паролей Windows:
Утилита
Автор
Среда компиляции
Комментарии
c50a-nt-0.20.tgz
Боб Тинсли (Bob Tinsley)
Unix
Взломщик "по словарю", часть взломщика Алека Муффетта (Alec Muffett) версии 5.0 для Unix
lc201exe.zip
Мужд (Mudge) и Уелд Понд (Weld Pond) из группы "L0pht"
Unix, включая версии под GUI NT и DOS
Лучший продукт в своей области, включает в себя быстрый взломщик "грубой силой", может использовать словарь. Доступны исходники утилит
NTCrack.tar.gz
Джонатан Уилкинс (Jonathan Wilkins)
Unix, включая версию под NT
Взломщик "атакой по словарю"
Если вы взломали систему, не оставляйте где-либо набор использованных утилит! Лучше попытайтесь поставить несколько "черных входов", схожих с "ping", "quota" или "login", и используйте "fix" для коррекции параметров "atime" и "mtime" в файле, если нет другой возможности.
В Windows-системах обычно для постановки "backdoor" и автоматического запуска при старте системы внедряют "троянец" и модифицируют код "Internat.exe" - индикатора-клавиатуры или реже "Systray" - утилиты управления питанием. Если применена не стандартная "программная закладка" (вроде "Back Orifice" или "NetBus"), а утилита, разработанная самостоятельно, то вероятность ее обнаружения стандартными антивирусными пакетами сводится практически к нулю. Для противодействия здесь необходимо использовать дисковые ревизоры, подсчитывающие контрольные суммы, такие как "инспектор" AVP Никишина из пакета Касперского или Adinf Мостового. Об этом пойдет речь в следующих статьях, отмечу, что при грамотном применении для большинства хакеров эти ревизоры становятся непреодолимым или труднопреодолимым препятствием.
"Десять лет я не мог найти дорогу назад, а теперь позабыл, откуда пришел".
Мое любимое чаньское изречение.
Раздел IV - продвинутые техники
1. Предисловие
Как только вы пустили свой первый перехватчик пакетов и приступили к взломам в глобальных сетях, вы должны научиться этим приемам и проводить эти проверки.
Применяйте изложенные здесь советы, - иначе ваша деятельность быстро закончится.
2. Предотвращение любых трассировок
Временами ваши взломы не останутся незамеченными. На самом деле, проблема не в этом, какие-то сайты "повалятся", но сколько еще предстоит преодолеть. Самое опасное, когда они попытаются проследить вас до местонахождения, далее иметь дело с вами - арестовать вас!
В этой короткой главе будет рассказано о каждой возможности для них вас отследить и о ваших возможностях это предотвратить.
Обычно администратор без проблем определяет систему, откуда пришел хакер: проверяя записи в журналах (особенно, если хакер на деле "ламер"), просматривая выходные данные перехватчика пакетов, который инсталлировал взломщик, - в них будет информация и о нем тоже, используя любые утилиты для аудита, такие как "loginlog", просто просматривая все установленные соединения с помощью "netstat", если хакер сейчас в on-line - подумайте, что они там обнаружат!
Вот почему вам необходим шлюзовой сервер.
Шлюзовой сервер как посредник - что это такое?
Это один из многочисленных серверов, где у вас заведены учетные записи, являющийся обыкновенной системой, к которой получен "корневой" доступ. Доступ к "корню" необходим для изменения файлов "WTMP" и "LASTLOG", возможно для поверхностного аудита журналов и не для чего более. Следует на постоянной основе менять шлюзовые серверы, например, через каждую одну-две недели, и не использовать их повторно, по меньшей мере, месяц. При такой вашей линии поведения маловероятно, что они отследят ваш маршрут к самому началу или хотя бы до следующей точки подключения.
Сервер, с которого вы атакуете, - основа для всей активности. С этого сервера и начинается хэк. Подключитесь по "telnet" (или лучше по "remsh/rsh") к машине, которая будет шлюзом, и затем - к цели для атаки. Вам снова понадобится доступ на уровне "корня" для изменения журналов протоколирования. Следует менять ваш атакующий сервер каждые две-четыре недели.
Ваш опорный dialup-сервер - это самая критическая точка. Как только единожды будет отслежен маршрут к вашей dialup-машине - вы погибли. Звонок в полицию, трассировка линии - и ваша хакерская деятельность уже вошла в историю, как, возможно, и остаток ваших дней.
У вас нет необходимости в корневом доступе к опорному компьютеру. Так как подключение к нему идет только через модем, то нет журналов регистрации активности, которые необходимо изменять. Следует только для входа в систему каждый день использовать разные учетные записи и пытаться входить по редко используемым.
И ни в коем случае ничего не изменяйте в системе!
Заведите себе, как минимум, два опорных хоста, через которые вы подключаетесь по "dialup", и меняйте их каждые один-два месяца.
В простых случаях в Интернет для сокрытия своего реального IP-адреса (и местонахождения соответственно) чаще всего применяют прокси-серверы сторонних провайдеров.
Proxy-серверы
Прокси-сервер ("proxy" - дословно с английского: "заместитель", "доверенный агент") - это сервер, который часто называют шлюзом прикладного уровня, выступающий посредником между компьютерными системами и устанавливающий соединение между реальным клиентом и необходимым узлом.
Практически каждый И-нет провайдер создает для своих пользователей собственный прокси-сервер, который выступает в роли "кэша", ускоряющего доступ и загрузку. Хотя многие провайдеры, имеющие прокси-сервера, закрывают к ним публичный доступ, некоторые могут быть общедоступными для всех или почти всех. Не всякий провайдер захочет, чтобы его прокси пользовались сторонние, им неавторизованные пользователи. Но это вопрос больше этический.
Прокси бывают непрозрачными (анонимными), которые можно использовать для обеспечения приватности и ускорения работы в Интернет. Большинство прокси-серверов не обрезают "Cookies", не модифицируют (скрывают) поле "User-Agent", идентифицирующее браузер, а только заменяют IP-адрес реального клиента на свой собственный, что, тем не менее, позволяет скрыть свое истинное местонахождение. Большинство сторонних прокси прозрачны (не анонимны), т.е. добавляют к запросу поле, содержащее реальный IP-адрес. Их можно применять, например, для подключения к почтовым серверам с Web-интерфейсом с целью подмены своего IP, но нельзя использовать для сокрытия местонахождения на серьезном уровне (возможно раскрытие самого факта применения прокси и получение реального адреса). Тем не менее, их также используют для ускорения соединений. Прокси-серверы при необходимости тестируют на анонимность.
Прокси-сервер может иметь ограничения по географическому признаку (точнее, по IP-адресам пользователей). Другими словами, не будет пускать пользователей определенных доменов. Это может быть связано с конъюнктурными соображениями конкретного провайдера, закрывающего доступ пользователей своего конкурента или по политическим мотивам бойкотирующего определенную страну или целый регион. Кстати, это хорошо просматривается для Беларуси. Не стану вдаваться в политику, каждый ответит сам на вопрос, почему это так, но по своему опыту я сужу, что под "российским флагом" меня "принимали в гости" охотнее, и тем более я был "свой среди своих" с английским или американским IP. Это можно обойти, подключившись сначала к провайдеру с нейтральной географической принадлежностью (к туркам, корейцам или финнам) и "прорубив окно в Европу", далее переподключиться к нужному серверу. Не всякий прокси пустит - посему поможет терпение и перебор вариантов "методом тыка".
Случается, что прокси закрывает доступ к определенным сайтам или определенному содержимому. Другими словами, на "Yahoo" - пожалуйста, а в "Мафию" - нет. Об этом тоже следует помнить, "заготавливая впрок" десяток-другой проксей, тестируя их на проходимость.
Браузеры
Современные браузеры имеют встроенную поддержку прокси.
В Internet Explorer 4.x для этого следует пройти по пунктам меню "View\ Internet Options...", далее страница блокнота "Connection". На групповой панели "Proxy server" пометить флажок "Access the Internet using proxy server" и в окнах редактирования "Address:" и "Port:" выставить нужные параметры. Для конфигурации прокси для каждого протокола в отдельности или блокировки его использования для некоторых адресов ("Do not use proxy server for addresses beginning with:"), по нажатии кнопки "Advanced...", доступен диалог точных настроек. Иногда провайдер предоставляет адрес для автоматической конфигурации браузера. Эта опция доступна на той же странице блокнота на групповой панели "Automatic configuration" по нажатии кнопки "Configure...". После введения URL - кнопка "Refresh" или перезапуск браузера. Для справки: такую возможность я видел только в прокси-серверах арабских стран.
В Netscape Navigator 4.x для этих целей следует пройти по пунктам меню "Edit\ Preferences...", далее узел дерева "Advanced", ветка "Proxies". После активизации ветки "Proxies" появляется группа переключателей, где выбор опции "Manual proxy configuration" дает доступ к кнопке "View" для вызова диалога настроек прокси-серверов, аналогично Explorer. Выбор опции "Automatic proxy configuration" дает доступ к окну редактирования "Configuration location (URL):" для введения адреса и кнопке "Reload" для немедленной активизации.
В браузере Opera для подключения к прокси необходимо пройти по меню "Preferences\ Proxy Servers...".
При настройках необходимо быть внимательным с протоколами. Использование одного прокси для всех протоколов - не лучший, а иногда и ошибочный вариант. Большинство прокси обеспечивают работу только с "HTTP", реже - с "FTP", и совсем несколько - с "Secure" (SSL), и использование одного прокси, не поддерживающего необходимый протокол, ни к чему не приведет - соединение пойдет напрямую, минуя настройки.
На одном компьютере можно иметь до трех и более разных браузеров и каждый из них подключить к разным прокси. Тогда на одном сайте (например, в чате) можно сфальсифицировать присутствие трех человек, вроде находящихся в "разных" местах. В этом был один из секретов моментального "клонирования" "Черного принца" на чате "Русской мафии". Эту методику я рекомендую любителям "метального (виртуального) секса" и "психофашистам(ткам)":).
Netscape Navigator, в отличие от Internet Explorer и Opera, позволяет поставить в цепь два прокси-сервера прямо в настройках. Для этого в поля ввода адреса необходимо ввести составной адрес вместе с номерами портов примерно такого вида: "http://proxy1:Port1//http://proxy2:Port2". "Читаться" (проходиться) прокси будут слева направо, поэтому первый (слева) прокси может быть прозрачным, следующий необходимо ставить анонимный. Или для повышения уровня безопасности поставить в цепь два анонимных. "Совсем пугливым" можно рекомендовать после этого подключиться к анонимайзеру.
Anonymizer
Один из самых простых способов обеспечить "сокрытие следов" при путешествии по Интернету - это воспользоваться услугами сервера "Anonymizer" (www.anonymizer.com). После захода на этот сервер все, что необходимо, - это набирать адрес необходимой страницы в поле "анонимайзера" с подсказкой "http://" и нажимать кнопку "Go". Для тех, кто пользуется бесплатно, страницы будут выдаваться с 30-секундной задержкой. Анонимайзер - это не просто анонимный прокси-сервер, который не только закрывает ваш реальный IP, но и он закрывает от "Java" и "Javascript", "Cookies", предоставляет свои дополнительные собственные сервисы, такие как "URL Encryption" (шифрование адресов) и "Safe Cookies" (безопасные "булочки" - строки ассоциированные с конкретной страницей или сайтом). При доставке страницы он "перерабатывает" ее содержимое, заменяя простой URL (адрес) на составной, по схеме подобной следующей: "http://anon.free.anonymizer.com/http://www.geocities.com/ werebad/index.htm", и далее пропускает все через свои фильтры. Причем подвергаются фильтрации даже ссылки на графические файлы. Это видно также в поле браузера "Location". Бесплатно он работает только с протоколом "HTTP", анонимизация протоколов "HTTPS" и "FTP" бесплатно не предоставляется.
Для повышения уровня приватности анонимайзер можно задействовать одновременно с другими прокси.
Уязвимости прокси и уровень безопасности.
Не все прокси не меняют поле идентификации браузера "User Agent", выдающее версию браузера и операционной системы. Поле идентификации можно запросить запущенным из html-документа локально выполняющимся "JavaScript". Для повышения приватности следует отключить поддержку всех активных сценариев, как Ява, так и "Visual Basic Script".
Большинство прокси, в отличие от аномайзеров, не блокируют работу с "Cookies". Поэтому для повышения уровня приватности необходимо или блокировать использование "Cookies" вообще, или специальными программами ставить на них фильтры.
Java-applet или ActiveX, загруженные браузером, могут также пробить брешь в безопасности (например, после запроса "localhost"), ваш реальный IP-адрес. Другими словами, поддержку (загрузку) Java и ActiveX в браузере для повышения уровня безопасности также следует отключить.
Прокси-сервер, работающий по HTTP протоколу, не анонимизирует работу по протоколу HTTPS для обращения к SSL-узлам. Для корректной работы необходимо поставить в настройке "Secure" ("Security") прокси-сервер, работающий с этим протоколом. Ну и, разумеется, лучше использовать браузер с поддержкой 128-битного шифрования.
Многие, даже большинство прокси не анонимны. Провайдер может со временем сделать свой анонимный прокси не анонимным. Поэтому время от времени или перед критической миссией прокси необходимо снова протестировать на анонимность.
В статье за отсутствием места, а честно сказать и желания, я обошел стороной вопросы работы с "SOCKS" или подключением к "Wingate".
Реальная история
Действие происходило осенью 21 октября 1998 года на сайте "Русской мафии". Мне уже было давно пора уходить, я уже сделал то, что хотел, или, скорее, то, что было по моим силам. Меньше месяца оставалось до того момента, когда я навсегда покинул это "ристалище суетности". Я находился в чате и мирно беседовал, когда заметил двух пришельцев, зашедших под никами: "Uri" и "Sirtaca". Первое время они вели себя мирно, но на всякий случай я засек, откуда они "вещают". Оба оказались из Днепропетровска, подключенные к одному и тому же провайдеру, у одного мне даже удалось установить адрес вплоть до номера дома. Но, как сказано в Дхаммападе, "Они порицают сидящего спокойно, они порицают многоречивого и того, кто говорит в меру, порицают они. Нет ничего в мире, чтобы они не порицали", и что-то вызвало неудовольствие в моей мирной беседе с девицами у пришельцев. В мой адрес посыпались угрозы и оскорбления. Мне было лень вступать в какую-либо полемику и я продолжал беседу, игнорируя "flame" (дословно: "пламя", в И-нет сленге означает "наезд", оскорбление), сбросив, "на всякий случай", поддержку "Javascript", "Java", "Cookies" и загрузку "ActiveX". "Суперагенты" Uri и Sirtaca, "оскорбившись в лучших чувствах", "клятвенно заверили", что достанут меня и для этого "начали сканировать порты" сервера "Русской мафии". Радостно сообщив, что нашли открытый 21-й ftp-порт, они еще полчаса продолжали свое сканирование. Наконец, я обратил внимание на их суету: "Я подключился к Техасскому провайдеру в Эль-Пасо, после подключился к питерскому, на котором и висит мафия. Так что сканите хоть до конца моих дней", - кинул я им, переключившись на анонимный прокси-сервер в Финляндии. Тогда, выдав пару комплиментов в мой адрес, мне предложили вступить в переговоры, выдав для этого номер моего ICQ. Я, естественно, отказался, зная уязвимость "этой игрушки для юзеров", дав им бросовый почтовый ящик на "hotmail". Мне пришло два письма: одно с оскорблениями, посланное через "remailer" (сервер анонимной рассылки), другое с реального "аккаунта" с предложением взломать "серьезную сетку". Но мне уже все это было не интересно - через неделю я покинул страну и "слился с фоном" грязных улиц "северной криминальной столицы".
Как-то мне понадобился сайт, содержащий редкую информацию по компьютерной безопасности, но при обращении я получал отказ, хотя "ping" показывал, что сервер работает. Мне удалось зайти на него только через прокси-сервер, размещенный в Мозамбике. Этот факт я до сих пор до конца не понял. По политическим, экономическим, личным или другим мотивам администраторы Интернет-ресурсов могут ограничивать доступ пользователей с других регионов или пользователей с определенным адресом (диапазоном адресов), принадлежность к которым в подавляющем большинстве случаев определяется по IP-адресу. Это подтверждается тем, что, заходив на одни и те же серверы "под разным флагом", я получал отличный content ("содержание"). Часто западные сайты выдают больше информации для своих, ограничивая СНГ-вских пользователей. Когда-то меня позабавило рассматривать Yahoo с южнокорейским, немецким, японским или американским IP. Содержание сайта заметно менялось, особенно баннеры. Так что, прокси могут использоваться не только для сокрытия своего реального адреса, но и доступа к содержимому "для своих", этакого варианта "служебного входа" только применительно к Интернет.
Замечание: если у вас появилась возможность подключаться по "dialup", каждый раз, к новым системам (например, через "blue-box"), так и поступайте. Тогда, для прикрытия, вам не нужен атакующий сервер.
Используйте "blue-box", карточку или "outdial", или что-либо еще. Даже если они доберутся до опорного хоста, они не смогут оттрассировать вас дальше (что, в принципе, очень просто)...
Что касается применения "blue-box", то следует быть осторожным, потому что в Германии и США телефонные компании имеют системы слежения для детектирования абонентов, использующих "blue-box". ATT отслеживает пользователей поддельных кредитных карт и так далее.
Применение системы-посредника для перемаршрутизации ваших телефонных звонков, с одной стороны, усложняет труд по трассировке, но с другой - также увеличивает риск быть схваченным за применение "phone-box". Вопрос "как лучше поступить" остается на ваше усмотрение.
Для пометки еще один пример. В Дании все - все - данные о телефонных звонках сохраняются! И через десять лет после звонка они смогут доказать, что вы подключались к dialup-системе, которая использовалась хакером...
Безопасности телефонной связи я касался, хочу только еще раз всуе помянуть СОРМ. Под давлением писем с вопросами, как действовать, не нарушая "волчий закон", не атакуя ни из дома, ни от друзей, ни рабочего места, я привожу эти элементарные соображения:
Можно заранее, за месяц-два, снять квартиру на подставное лицо, проверить хозяина (я сталкивался со случаями, когда моим друзьям пытались сдать квартиру люди, находившиеся в серьезных неладах с законом), жильцов и окружающую территорию. Желательно, чтобы "зиц-председатель" имел "убойную характеристику" в наркологическом или психоневрологическом диспансере - тогда его показания "будут приниматься к рассмотрению, но не являться доказательством". Или снять гостиничный номер, заранее подготовив в Интернет контейнеры со всем необходимым, выехать в турпоездку в другую страну, захватив с собой ноутбук.
Хотя, с одной стороны, это напрямую касается хакеров и их методов (опыта) работы, но, с другой стороны, мне не хотелось бы превращать компьютерную прессу в место для публикаций инструкций по "обеспечению безопасности (конспирации) активных мероприятий". Последнее: приведенную выше информацию не стоит пытаться использовать против меня же, я давно работаю по более совершенным схемам и протоколам (алгоритмам). Я публикую только то, что для меня не актуально и не представляет никакой ценности.
Разное
Если вы решили использовать "satan", "iss", "ypx" или "nfs"-сканер файловых дескрипторов, запускайте их на сервере, специально выделенном для этого. Не используйте этот же сервер для реальных подключений по "telnet", "rlogin" и тому подобному к атакуемой системе, пусть он будет только для целей сканирования. Подключайтесь к нему так же, как подключаетесь к шлюзовому серверу.
Есть утилиты, которые, привязываясь к конкретному порту, после установки соединения с этим портом автоматически открывают соединение с другим сервером, другие действуют подобно командной оболочке на системе, так что вы также делаете "telnet" с домена, обслуживающего этот сокет.
Запуская такую программу, вы не пишетесь ни в один журнал протоколирования активности, если только нет фаервола с его журналами регистрации. Много программ для вас могут сделать эту ерунду.
По возможности атакующий сервер и/или шлюзовая машина должны находиться за рубежом!
Потому как, если ваша попытка взлома будет обнаружена и ваш хост будет идентифицирован, большинство администраторов будут склонны прекратить охоту за вами. Даже если "легавые" попытаются трассировать вас через несколько стран, это задержит их как минимум на 2-10 недели...
Зима 2002 года...
Ваши мысли : 