Frontal-linha Time De Segurança De Informação (PUNHO), Dezembro 1998.
fist@ns2.co.uk http://www.ns2.co.uk
------------------------------------------------------------------------------- 0 Índices ------------------------------------------------------------------------------
1. Introdução 1.1 Somente que é vulnerável de qualquer modo?
1.2 Perfil de um típico ' cracker de sistema'
2 Rede 2.1 metodologias de Rede adotadas por muitas companhias 2.2 Compreendendo vulnerabilidades em tais sistemas em rede
3 O ataque si mesmo 3.1 Técnicas utilizadas para 'manto' a localização do attackers 3.2 probing de Rede e reunião de informação 3.3 Identificando confiada componentes de rede 3.4 Identificando componentes de rede vulneráveis 3.5 Aproveitando componentes de rede vulneráveis 3.6 Sobre ganho acessa para componentes de rede vulneráveis
4 Abusando rede acessa e privilégios 4.1 Descarregando informação sensível 4.2 Partindo outro confiado redes dos anfitriões 4.3 Instalando backdoors e arquivos do trojaned 4.4 Tomando Nota De redes
5 A melhora de segurança de rede total 5.1 Sugerida leitura 5.2 Sugerida ferramentas e programas
------------------------------------------------------------------------------- 1.0 Introdução ------------------------------------------------------------------------------
Este papel branco foi escrito ajudar dá administradores de sistemas e pessoal de operações de rede uma visão dentro a tática e metodologias adotadas por crackers de sistema típico quando targeting redes grandes.
Este documento está não um guia sobre como para seguro suas redes, embora isto deveria ajudar você identifica segurança arrisca em seu ambiente em rede e talvez ajuda aponta quaisquer acidentes que estão esperando acontecer.
Nós desejamos você desfruta leitura este papel, e esperançosamente aprende um pequeno sobre como crackers opera nesse meio tempo!
O Ltd De Soluções De Segurança De Rede. BATA pessoal (fist@ns2.co.uk)
------------------------------------------------------------------------------- 1.1 Somente que é vulnerável de qualquer modo?
-------------------------------------------------------------------------------
Ambientes de computador Em Rede são utilizados todo dia por corporações e vários organisations. Redes de computadores permitem usuários para compartilhar quantias vastas de dados muitos eficientemente.
Usualmente redes associadas não são projetadas e implementadas com segurança em mente, meramente funcionalidade e eficiência, embora isto é boa de um ponto de vista de negócios no curto-termo, problemas de segurança usualmente sobem mais tarde, que podem milhões de custo para resolver em ambientes mais grandes.
A Maioria Das redes particulares sensíveis e associadas trabalham em um cliente-servidor princípio, onde empregados usam workstations para conectar para servidores para que compartilham informação. Neste papel nós concentraremos em segurança de servidor, como a maioria do crackers vai sempre primeiro de servidores de alvo, o servidor é muito gostado de um 'centro' onde todo a informação é armazenada. Se um cracker pode ganhar unauthorised acessa para tal um servidor, o descanso dele trabalho é fácil.
Festas Vulneráveis para grande-escala probes de rede usualmente inclue :
Instituições Financeiras e bancos Governo De companhias do Pharmaceutical De provedores de serviço Internet e Contratantes De agências de defesa para várias agências do goverment corporações Multinacionais
Embora muitos destes ataques tomam lugar internamente (por usuários que têm authorised acessa separar das redes sensíveis ou associadas já), nós estaremos concentrando nas técnicas utilizadas quando invadindo tais redes inteiramente do exterior.
Instituições Financeiras e bancos são probed e atacado em tentativas para comprometer fraude. Muitos bancos têm sido targeted desta forma, arriscando fundos monetários vastos. Bancos fazem isto política não para permitir ser as vítimas de tais ataques externos porque eles certamente perderão clientes e confiam se ataques são publically sabido.
Provedores de serviço Internet são um alvo comum por crackers, como servidores do ISP estão facilmente acessíveis da internet, e do ISP tem acessado para fibra grande conexões óticas que podem estar utilizadas por crackers para mover quantias grandes de dados através a internet. O ISP mais grande também tem bancos de dados de cliente, que usualmente contêm informação do usuário confidencial tal como números de cartão de crédito, especifica e endereços.
Companhias do Pharmaceutical são vítimas de principalmente tentativas de espionagem industriais, onde um time de vontade do crackers seja pagada quantias grandes em troca para roubada dados do pharmaceutical, tais companhias de droga freqüentemente gastam milhões em pesquisa e desenvolvimento, e um muito pode ser perdido como um resultado de tal um ataque.
Acima Do durado 6 anos, Governo e agências de defesa nos Estados Unidos têm sido vítima para literalmente milhões de ataques originando da internet. Devido à segurança de informação baixa orça e as políticas de segurança fracas de tais agências, segurança de informação tem tornada-se uma batalha do uphill, como governo e servidores militares estão constantemente sendo probed e atacado por crackers.
Contratantes de Defesa, embora segurança ciente, são alvos ao crackers procurando classificado ou dados militares sensíveis. Tais dados podem então são 'vendidos em' por crackers para grupos estrangeiros. Embora unicamente um punhado destes casos têm sido publically sabido, tais atividades podem ocorrer em uma valor alarmante.
Corporações Multinacionais são exemplos do prime de vítimas de tentativas de espionagem industriais. Corporações Multinacionais têm escritórios baseados completo o mundo, e redes associadas grandes são instaladas em pedido aos empregados para ser capazes de compartilhar informação eficientemente. Pessoal do NSS tem desempenhado penetration testa para corporações multinacionais, e nossas descobertas em a maioria dos casos têm mostrados que muitos podido seja comprometido.
Companhias do pharmaceutical Iguais, corporações multinacionais operando em eletrônica, software ou computador-relacionadas indústrias, gastam milhões em pesquisa e desenvolvimento de novas tecnologias. Isto é muito tentadodo para um competidor de tal uma corporação, para empregar um time de ' crackers de sistema' para roubar dados de uma corporação de alvo. Tais dados podem então estão utilizados para rapidamente e facilmente melhoram o conhecimento de competidores de tecnologias chaves, e resultam em perdas financeiras da corporação de alvo.
Outro forma de ataque adotado por competidores de corporações, está para 'toma nota de' uma rede associada para uma quantia certa de tempo, este resultados em perda de salário à corporação de alvo. Em a maioria dos casos isto está extremamente difícil para localizar a fonte de tal um ataque. Contando Com o segmentation de rede interno em lugar, esta espécie de ataque pode estar enormemente efetivo e resulta em perdas financeiras maciças.
Tal ' jogo sujo' é lugar comum em sociedade em rede de hoje, e deveria seria tomar muita seriamente.
------------------------------------------------------------------------------- 1.2 Perfil de um típico ' cracker de sistema' ------------------------------------------------------------------------------
Estudos têm mostrados aqueles típicos uns ' cracker de sistema' está usualmente masculino, envelhecido entre 16 e 25. Tal crackers usualmente torna-se interessado em invadir máquinas e redes para que melhoram suas habilidades partidas, ou para usar recursos de rede para seus próprios propósitos. A Maioria Do crackers estão completamente persistente em seus ataques, isto é devido à quantia de tempo livre um cracker médio tem.
Uma alta porcentagem de crackers são oportunistas, e correm scanners para checar números maciços de anfitriões para vulnerabilidades de sistema remotas. Sobre identificar os anfitriões ou redes que são vulneráveis para ataques remotos, o cracker usualmente ganhará raiz acessa ao anfitrião, então instala um backdoor e remenda o anfitrião de vulnerabilidades remotas comuns, isto previne outro crackers de existência capaz para usar as mesmas técnicas populares para ganhar acesso ao anfitrião.
Oportunistas operam em primeiramente dois domínios, a primeira existência a internet, as segundas redes de telefone de existência.
Para examinar os anfitriões internet para vulnerabilidades remotas comuns, o cracker usualmente lançará uma operação examinada de um anfitrião que ele tem acessado para com uma conexão rápida à internet, usualmente em uma fibra-ótica conexão.
Para examinar para máquinas operando em redes de telefone, sendo servidores terminais, boletim hospeda sistemas, ou voz envia sistemas. O cracker usará um programa do wardialling, esta vontade automaticamente examina quantias grandes de números de telefone para 'carregadores', assim identificando tais sistemas.
Uma muita pequena porcentagem de crackers realmente define alvos e tentam atacar eles, tal crackers estão longe mais hábis, e adotam 'incisivos-margem' técnicas para comprometer redes. Isto é conhecido para esses tipos de crackers para atacar redes associadas que são firewalled da internet por explorar não-publicadas vulnerabilidades e 'recursos' no firewalls.
As redes e hospeda targeted por esses crackers usualmente tem dados sensíveis contidos dentro eles, tal como pesquisam e notas de desenvolvimento, ou outros dados que provarão útis ao cracker.
Tal crackers são também conhecido de tem acessado explorar e ferramentas utilizadas por consultores de segurança e companhias de segurança grandes, e então uso eles para examinar definido alvos para todo sabido vulnerabilidades remotas. Crackers que estão atacando anfitriões específicos estão também usualmente muito paciente, e tem sido conhecido gastar muitos meses juntando dados antes tentar ganhar acesso para um anfitrião ou rede.
------------------------------------------------------------------------------- 2.1 metodologias de Rede adotadas por muitas companhias ------------------------------------------------------------------------------
Uma vontade de corporação típica tem uma presença internet aos seguintes propósitos :
O hospedado de E-mail Do webservers associado e outras comunicações globais via. a internet Para dar os empregados acesso internet
Do NSS DE corporações tem desempenhado penetration de rede testa da internet para, um ambiente em rede é adotado onde a rede associada e a internet são seperated por firewalls e proxies de aplicação.
Em tais ambientes, o webservers associado e mailservers são usualmente guardados nos 'exterior' da rede associada, e então informação é passada via. confiado canais sobre a rede associada.
No caso de confiança apresenta entre o mailservers externo e hospeda na rede associada, uma bema-pensamento filtro política tem colocar dentro efeito, como usualmente o mailservers externo deveria unicamente ser capaz de conectar para porta 25 de um solteiro 'seguro' mailserver na rede associada, como esta vontade maciçamente minimise a probabilidade de acesso do unauthorised, mesmo que o mailserver externo é comprometido.
Um Dos NSS DE redes associado tem desempenhado penetration testa em também teve um punhado de 'dual-homed' anfitriões, esses anfitriões tiveram interfaces de rede ativas em ambas a internet e a rede associada. De um ponto de vista de segurança, tais anfitriões que operam em redes múltiplas podem posar uma ameaça maciça para segurança de rede, como sobre comprometer um anfitrião, isto então substitui um simples 'ponte' entre redes.
------------------------------------------------------------------------------- 2.2 Compreendendo vulnerabilidades em tais sistemas em rede ------------------------------------------------------------------------------
Na internet, uma corporação pode tem 5 webservers externo, 2 mailservers externo, e um firewall ou filtro sistema implementado.
Webservers estão usualmente não atacado por crackers desejando ganhar acesso à rede associada, a menos que o firewall é misconfigured em algum caminho que permitirá o cracker acessa à rede associada sobre comprometer o webserver. Embora isto está sempre bom practise para seguro seu webservers e corre TCP wrappers para festas para conectar ao telnet e portas de ftp.
Mailservers estão comumente targeted por crackers desejando ganhar acesso à rede associada, como um mailserver deve tem acessar ao mailservers na rede associada para que distribue e troca correspondência entre a internet e a rede associada. Outra Vez, contando com o filtro em lugar, este tactic pode ou efetivo em parte do cracker.
Filtro routers estão também comumente targeted por crackers com agressive-snmp scanners e fio de comunidade bruto-força programas, se tal um ataque é efetivo, o router pode facilmente ser virado uma ponte, assim permitindo unauthorised acessa à rede associada.
Nesta espécie de situação o cracker avaliará exatamente que anfitriões externos ele tem acessado para, e então tentativa para identificar quaisquer espécies de confiança entre a rede associada e os anfitriões externos. Portanto se você instala TCP wrappers em todo seus anfitriões externos, que definem que unicamente festas confiadas podem conectar às portas do critical de seus anfitriões, que estão usualmente :
ftp (21), ssh (22), telnet (23), smtp (25), especificado (53), pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).
SMTP, especificado e portmapper deveria seria filtro portanto contar com papel do anfitrião está na rede.
Tal filtro tem sido proven para maciçamente reduzimos o risco de um ataque na rede associada.
Nos casos de redes com não limpam 'associadas à internet' política de segurança de rede, múltiplos-homed anfitriões e misconfigured routers existirá.
Uma falta de segmentation de rede interno vai também usualmente existe, isto faz isto um muito mais fácil para um cracker baseado na internet para ganhar o unauthorised acessa à rede associada.
mapping de rede Associado pode facilmente ocorrer se servidores do DNS externos são misconfigured, como NSS tem desempenhado penetration testa onde nós temos sido capazes de para mapa a rede associada via. tal um servidor do misconfigured DNS, por causa deste, isto é muito importante que DNS não existe entre os anfitriões na rede associada e anfitriões externos, isto está longe mais seguro para simplesmente usa IP endereça conectar para máquinas externas da rede associada e vice-versa.
Anfitriões Inseguros com interfaces de rede ativas em redes múltiplas podem ser abusadas ganhar acesso à rede associada muita facilmente.
O anfitrião inseguro faz não até mesmo tem comprometer. Isto é muito fácil para abusar um daemon de dedo em tal um anfitrião que permite transmitindo.. como usuários, hospeda e outra informação de rede pode ser colecionada identificar facilmente exploitable hospeda na rede associada, o sistema operacional de um anfitrião pode até mesmo ser determinado em muitos casos por emitir um dedo solicita para root@host, bin@host e daemon@host.
Algum crackers estão agora começando adotar técnicas com respeito às 'wardialling' de localizações associadas, tal como construindo e centros de operação de rede.
Se um cracker foi encontrar e então compromisso um servidor terminal associado, ele poderia usualmente ter um grau de acesso à rede associada, assim totalmente desviando qualquer firewalls ou filtro aquele seperate a rede associada da internet. Isto está portanto muito importante para identificar e assegura a segurança de seus servidores terminais, registrando de conexões para tais servidores está também fortemente aconselhado.
Quando tentando compreender vulnerabilidades em sistemas em rede, um ponto chave para recordar, está confiando entre os anfitriões em sua rede. Um Ou Outro através do uso de TCP wrappers, hosts.equiv arquivos, .rhosts ou . arquivos do shosts, muitas redes mais grandes são comumente atacadas por explorar a confiança entre os anfitriões.
Por Exemplo, se um attacker usa um CGI explora ver seu hosts.allow arquivo, ele pode achado que você todas conexões para seu ftp e portas do telnet de *.trusted.com. Certamente, o attacker pode então ganho acessa para qualquer anfitrião em trusted.com, e ganha acesso para seus anfitriões facilmente.
Para essas razões, isto está sempre uma boa idéia para assegurar que confiada anfitriões estão igualmente seguros de ataque remoto.
Um outro ataque que deveria seria mencionar, é a instalação de troianos e backdoors nos anfitriões associados (tal como Windows 95/98 máquinas), se os empregados têm acesso internet através de usar um proxy de aplicação e um firewall, então eles vão às vezes visita 'warez' sites para descarregar software do pirated.
Tal 'warez' sites usualmente têm software do screesaver, e outros utilitários em oferecem, que em alguns casos contêm programas do cavalo de troiano, tal como o Culto da Vaca Morta ' troiano de Orifícios Posteriores. Sobre a instalação do screensaver, o troiano infesta si mesmo dentro registro da máquina e está correndo todo tempo as botas de máquina.
No caso do troiano do BO, plugins pode ser aplicado ao troiano para fazer a máquina desempenha operações certas automaticamente, tal como conectam para servidores do IRC e unem canais, e o gostado de. Isto pode provar muito perigoso, como uma máquina do trojaned em sua rede associada podia facilmente ser controlada por alguéma na internet.
O troiano do BO está infinitamente mais efetivo se o cracker já tem acessado à rede associada, um ou outro porque ele é um empregado ou tem unauthorised acessa aos anfitriões associados. O troiano do BO podia ser instalado em todo Windows único 95/98 máquina em uma matéria de semanas se o cracker usa a estratégia correta, depois que ele terá controle remoto total acima das máquinas em pergunta, incluindo existência capaz para manipular arquivos, máquinas do reboot e formato par dirige, inteiramente remotamente.
------------------------------------------------------------------------------- 3.1 Técnicas utilizadas para 'manto' a localização do attackers ------------------------------------------------------------------------------
crackers Típico usualmente usará as seguintes técnicas para esconder seu endereço do IP verdadeiro :
- Bouncing através de previamente anfitriões comprometidos via. telnet ou rsh.
- Bouncing através do windows hospeda via. Wingates.
- Bouncing através dos anfitriões usando misconfigured proxies.
Se tal um cracker tem um modelo de sempre examinando seus anfitriões de previamente máquinas comprometidas, wingates ou proxies, então isto é aconselhável para contactar o administrador da máquina por telefone, e notifica ele dos problemas em mão. Nunca e-mail um administrador em tal um caso, porque o cracker pode simplesmente interceptar o e-mail de antemão.
O mais talented crackers que são hábil em invadir os anfitriões via.
trocas de telefone, podem uso as seguintes técnicas :
- Bouncing através de '800-number' telefone particular troca antes conectar para um ISP usando um 'cracked, 'phished' ou ' conta do carded.
- Conectando para um anfitrião por telefone, que está em volta conectada à internet.
Crackers adotando as técnicas de bouncing através de redes de telefone antes conectar à internet estão extremamente duras para seguir a pista abaixo, porque eles podiam estar literalmente em qualquer parte no mundo. Se um cracker foi usar um '800-number' dialup, ele podia discar dentro máquinas globalmente sem ter preocupar sobre o custo.
------------------------------------------------------------------------------- 3.2 probing de Rede e reunião de informação ------------------------------------------------------------------------------
Antes valor fora para atacar uma rede associada da internet, um cracker típico desempenhará algum probes preliminar de suas redes anfitriões externos apresentam na internet. Um cracker tentará ganhar externo e hostnames interno por usar as seguintes técnicas :
- Usando nslookup para desempenhar 'ls
- Vê o HTML em seu webservers para identificar quaisquer outros anfitriões.
- Vê os documentos em seus servidores de FTP.
- Conecta para seu mailservers e desempenha 'expn
- Manuseia usuários em seus anfitriões externos.
Crackers usualmente tenta juntar informação sobre o layout de sua rede si mesmo primeiro como oposto identificar vulnerabilidades específicas.
Por olhar resultados das perguntas listadas acima, isto está usualmente fácil para um cracker para construir uma lista de anfitriões e começam compreender os relacionamentos que existem entre eles.
Quando desempenhando esses probes preliminar, um cracker típico fará muitos pequenos erros e às vezes usam seu possuem IP para conectar para portas de suas máquinas para checar versões de sistema operacional e outros pequenos detalhes.
Se seus anfitriões são comprometidos, isto é uma boa idéia para checar seu FTP e HTTPD registra à presença de quaisquer solicitações estranhas.
------------------------------------------------------------------------------- 3.3 Identificando confiado componentes de rede ------------------------------------------------------------------------------
Crackers espera confiado componentes de rede para atacar, um componente de rede confiado está usualmente uma máquina de administradores, ou um servidor que é considerado como seguro.
Um cracker empreenderá por checar o NFS exporta de qualquer de suas máquinas nfsd que corre ou mountd, o caso sendo aqueles diretórios do critical em alguns de seus anfitriões (tal como /usr/bin, /etc e /casa por exemplo) pode ser mountable por tal um anfitrião confiado.
O daemon de dedo é freqüentemente abusado identificar confiado anfitriões e usuários, sendo usuários que freqüentemente registram dentro a máquina dos anfitriões específicos.
O cracker vai então checa suas máquinas para outros formulários de confiança, se ele pode explorar uma máquina usando uma vulnerabilidade do CGI, ele pode ganho acessa para uns anfitriões /etc/hosts.allow arquivo, por exemplo.
Depois analysing os dados dos acima checa, o cracker começará identificar confiança entre os anfitriões. O próximo passo ao cracker está identificar quaisquer anfitriões confiados que são vulneráveis para um compromisso remoto.
------------------------------------------------------------------------------- 3.4 Identificando componentes de rede vulneráveis ------------------------------------------------------------------------------
Se um cracker pode construir listas de seu externo e anfitriões internos, ele usará Linux programa tal como ADMhack, mscan, nmap e muitos scanners menores para examinar para vulnerabilidades remotas específicas.
Usuaully tais examinados de sua vontade dos anfitriões externa seja lançada de máquinas em conexões fibra-óticas rápidas, ADMhack requer correr como raiz em uma máquina do Linux, assim um cracker provavelmente usará uma máquina do Linux que ele tem ganho unauthorised acessa para e propriamente instalado um 'rootkit' em. Tal um 'rootkit' é utilizado para binários de sistema do backdoor critical para permitir o unauthorised e undetectable acessa ao anfitrião.
Os administradores de sistemas dos anfitriões que são utilizados para examinar os anfitriões associados externos usualmente têm nenhuma idéia que examina estão sendo lançados de suas máquinas, como binários tal como 'ps' e ' donetstat são trojaned para esconder examinando processos.
Outros programas tal como mscan e nmap não requer correr como raiz, e assim pode ser lançada do Linux (ou outras plataformas no caso de nmap) hospeda para efetivamente identifica vulnerabilidades remotas, embora esses examina são mais lentas, e podem não usualmente estão bemas muitas ocultas (como o attacker não necessita raiz acessa ao anfitrião como com o ADMhack).
Ambos ADMhack e mscan desempenha os seguintes tipos de checa nos anfitriões remotos :
- Um TCP portscan de um anfitrião.
- Um dump dos serviços do RPC correm via. portmapper.
- Uma listagem de exportações apresentam via. nfsd.
- Uma listagem de ações apresentam via. samba ou netbios.
- dedo Múltiplo solicita identificar contas de default.
- vulnerabilidade do CGI examinando.
- Identificação de versões vulneráveis de daemons de servidor, incluindo Sendmail, IMAP, POP3, condição do RPC e RPC mountd.
Programa tal como SATANÁS estão raramente utilizado por crackers hoje em dia, como eles são lentos.. e examina para vulnerabilidades obsoletas.
Depois ADMhack que corre ou mscan nos anfitriões externos, a vontade do cracker tem uma boa idéia de anfitriões seguros ou vulneráveis.
Se routers estão apresentando que são SNMP capaz, o mais crackers avançado adotará agressive-snmp examinando técnicas para tentar e ' força de bruto' os fios de comunidade particulares e públicos de tais dispositivos.
------------------------------------------------------------------------------- 3.5 Aproveitando componentes de rede vulneráveis ------------------------------------------------------------------------------
Assim o cracker tem identificado quaisquer anfitriões externos confiados, e também identificados quaisquer vulnerabilidades nos anfitriões externos. Se quaisquer componentes de rede vulneráveis foram identificados, então ele tentará comprometer seus anfitriões.
Um cracker paciente não comprometerá seus anfitriões durante horas normais, ele usualmente lançará um ataque entre 9pm na noite e 6am a próxima manhã, esta vontade reduzimos o likelyhood de qualquer um sabendo sobre o ataque, e dá o cracker tempo amplo para instalar o backdoors e sniffers em seus anfitriões sem ter preocupar sobre a presença de Administradores De Sistemas.
A Maioria Do crackers tem um grande acordo de tempo livre acima de fins-de-semana, e ataques são usualmente lançados então.
O cracker comprometerá um externo confiado anfitrião que pode estar utilizado como um ponto de que para lançar um ataque na rede associada. Contando Com o filtro entre a rede associada e os anfitriões associados externos, esta técnica pode ou.
Se o cracker compromete um mailserver externo, que na verdade tem acesso total para um segmento da rede associada interna, então ele pode começar trabalho em embutir ele mesmo fundamente dentro sua rede.
Para comprometer a maioria dos componentes em rede, crackers usará programas para remotamente exploram versões vulneráveis de daemons de servidor continua anfitriões externos, tais exemplos incluem versões vulneráveis de Sendmail, IMAP, POP3 e serviços do RPC tal como statd, mountd e pcnfsd.
A Maioria Das façanhas remotas utilizadas por crackers são lançadas de previamente anfitriões comprometidos, como em alguns casos eles necessitam compilar na mesma plataforma como o anfitrião eles estão estar utilizados para explorar.
Sobre executar tal um programa remotamente para explorar um daemon de servidor vulnerável continua seu anfitrião externo, o cracker usualmente ganhará raiz acessa para seu anfitrião, que na verdade pode ser abusado ganhar acesso para outros anfitriões e a rede associada.
------------------------------------------------------------------------------- 3.6 Sobre ganho acessa para componentes de rede vulneráveis ------------------------------------------------------------------------------
Depois explorando um daemon de servidor, o cracker começará um 'limpo-para cima' operação de falsificação seus anfitriões registra e ' binários de serviço do backdooring assim ele pode acessar o undetected do anfitrião mais tarde.
Primeiro ele começará implementar o backdoors, assim ele pode mais tarde acessar o anfitrião. A Maioria Do backdoors que uso do crackers são precompiled, e técnicas são adotadas mudar a data e as permissões do binário que tem sido backdoored, em alguns casos, até mesmo o filesize do novo binário é o mesmo como o binário original. Attackers ciente de FTP transfere registros podem uso o 'rcp' programa copiar o backdoored programa hospedar.
Isto é improvável que tal um cracker invadindo uma rede associada começará remendar seus anfitriões de vulnerabilidades, ele vai usualmente unicamente instala backdoors e binários de sistema do critical de troiano tal como 'ps' e 'netstat para esconder quaisquer conexões ele pode faz para e do anfitrião.
Os seguintes binários do critical estão usualmente backdoored no Solaris 2.x máquinas:
/usr/bin/login /usr/sbin/ping /usr/sbin/in.telnetd /usr/sbin/in.rshd /usr/sbin/in.rlogind
Algum crackers tem também sido conhecido colocar um .rhosts arquiva no /usr/bin diretório para permitir depósito remoto acessa ao anfitrião via. rsh e csh em modo interativo.
A próxima coisa que a maioria do crackers está checar o anfitrião para qualquer presença de registrar sistemas que podem têm registrados suas conexões ao anfitrião, ele vai então continua editar tais conexões fora de quaisquer registros encontrados no anfitrião. Isto é aconselhável para registrar para um lineprinter se a máquina é muita provavelmente para ser um alvo do prime de um ataque, como isto faz isto extremamente difícil ao cracker para editar ele mesmo dos registros.
Sobre assegurar que sua presença não tem sido registrada em qualquer caminho, o cracker continuará invadir a rede associada. A Maioria Do crackers vai não mais ambas vulnerabilidades exploradas em outros anfitriões externos se eles têm acessado à rede interna.
------------------------------------------------------------------------------- 4.1 Descarregando informação sensível ------------------------------------------------------------------------------
Se meta do cracker está descarregar informação sensível de servidores de FTP ou webservers na rede associada interna, ele pode fazer assim do anfitrião externo que está agindo como um 'ponte' entre a internet e rede associada.
Entretanto, se meta do cracker está descarregar informação sensível segurada dentro internamente anfitriões em rede, ele continuará tentar ganhar acesso para eles por abusar a confiança com o anfitrião externo ele já tem acessado para.
------------------------------------------------------------------------------- 4.2 Partindo outro confiado anfitriões e redes ------------------------------------------------------------------------------
A Maioria Do crackers simplesmente repetirá os passos aceitados seções 3.2, 3.3, 3.4 e 3.5 ao probe e ganha acesso para hospedar na rede associada interna, contando com que o cracker está tentando alcançar, troianos e backdoors pode ou em seus anfitriões internos.
Se o cracker deseja alcançar rede total acessa aos anfitriões na rede interna, ele instalará troianos e backdoors e remove registros como em seção 3.6. Crackers também instalará sniffers em seus anfitriões, esses são explicados em seção 4.3.
Se o cracker meramente deseja descarregar dados de servidores chaves, ele tomará aproximações diferentes para ganhar acesso para seus anfitriões, tal como identificando e atacando anfitriões chaves que são confiados pelo alvo servidores chaves.
------------------------------------------------------------------------------- 4.3 Instalando sniffers ------------------------------------------------------------------------------
Um extremamente caminho efetivo ao crackers para rapidamente obtem quantias grandes de usernames e senhas para internamente anfitriões em rede está usar 'ethernet sniffer' programas. Porque tal 'sniffer' programa necessidade para operar no mesmo ethernet como os anfitriões o cracker deseja ganhar acesso para, isto poderia estar ineficaz para correr um sniffer no anfitrião externo ele está usando como uma ponte.
Para '(funga' dados fluindo através a rede interna, o cracker deve desempenhar uma raiz remota compromete de um anfitrião interno que está no mesmo ethernet como um número de outros anfitriões internos. As técnicas mencionadas em seções 3.2, 3.3, 3.4, 3.5 e 3.6 são adotadas aqui, como o cracker deve comprometer e backdoor o anfitrião bem sucedidamente para assegurar que o programa do sniffer pode ser instalado e utilizado efetivamente.
Sobre comprometer, instalando um backdoor e instalando trojaned 'ps' e ' programas do netstat, o cracker deve então instala o 'ethernet sniffer' programa no anfitrião. Tais programas do sniffer são usualmente instalados nos /usr/bin ou / diretórios do dev sob o Solaris 2.x, e então modificado parecer como se eles foram instalado com todo os outros binários de sistema.
Maior 'ethernet sniffers' visita a fundo e saída para um registro na máquina local, isto é importante para recordar que o cracker vai usualmente backdoor o ' binário do ps, assim o processo notável.
Tal 'ethernet sniffers' trabalha por retorno uma interface de rede dentro ' modos do promiscuous, a interface então escuta e registra ao sniffer logfile, qualquer usernames útil, senhas ou outros dados que podem estar utilizados pelo cracker para ganhar acesso para outros anfitriões em rede.
Porque 'ethernet sniffers' são instalado no ethernets, literalmente quaisquer dados viajando através aquela rede pode ser (fungada, isto não tem viajar para ou do anfitrião em que o sniffer é instalado.
O cracker usualmente voltará uma semana mais tarde e descarrega o logfile criado pelo 'sniffer' programa. No caso de uma rede associada rompe tal como esta, isto está provavelmente que a vontade do sniffer seja montada muita bema, e dificilmente detectable a menos que uma boa política de segurança é implementada.
Um muito bom utilitário utilizado por muitos segurança-cientes Administradores é Tripwire, que é disponível de COSTA (vê seção 5.2). Tripwire faz um MD5 'impressão digital' de seu filesystem, e detectará quaisquer modificações para seus arquivos feitos por usuários do malicious ou crackers.
Para detectar interfaces de rede do promiscuous (um sinal comum de uma instalação do sniffer), a 'cpm' ferramenta disponível do CERT é muito útil, vê http://www.cert.org/ftp/tools/cpm/ para mais informação.
------------------------------------------------------------------------------- 4.4 Tomando Nota De redes ------------------------------------------------------------------------------
Se um cracker pode comprometer servidores chaves aplicações de servidor que corre tal como bancos de dados, sistemas de operações de rede ou qualquer outro ' critical de missão' funções, isto é fácil para ele para tomar nota de sua rede para um período de tempo.
Um cru, mas não técnica rara adotada por crackers tentando desabilitar funções de rede, poderiam ser apagar todo os arquivos dos servidores chaves por emitir uns 'rm -rf / &' comanda no servidor. Contando Com o sistema de cópia de segurança implementado, o sistema podia ser para algo de horas, para meses.
Se um cracker foi ganhar acesso para sua rede interna, ele podia abusar vulnerabilidades apresentam em muitos routers tal como no Cisco, Baía e Ascende marcas. Em alguns casos o cracker podia reiniciar, ou fecha routers inteiramente até um administrador foi ao reboot eles.
Isto pode causar problemas grandes com respeito a funcionalidade de rede, como se o cracker foi montar uma lista de routers vulnerável que desempenhado papeis de rede chaves (se eles estiveram utilizados no backbone associado por exemplo), então ele podia facilmente desabilitar a capacidade de rede de corporações para algum tempo.
Para essas razões, isto é muito importante que ' critical de missão' routers e servidores são sempre remendados e seguros.
------------------------------------------------------------------------------- 5.1 Sugerido leitura ------------------------------------------------------------------------------
Há muitos bons papeis disponíveis para ajudar você mantem segurança de seu externo e anfitriões internos e routers, nós recomendamos você visita o seguinte websites e olha nos seguintes livros se você deseja aprender mais sobre securing redes grandes e anfitriões :
http://www.antionline.com/archives/documents/advanced/ http://www.rootshell.com/beta/documentation.html http://seclab.cs.ucdavis.edu/papers.html
http://rhino9.ml.org/textware/
' Unix Prático & Segurança Internet' ------------------------------------
Uma boa introdução dentro Unix e segurança Internet se você realmente não tem lido muito dentro o assunto antes.
Simson Garfinkel e Spafford O'Reilly De Gene & Associa, Inc.
ISBN 1-56592-148-8
NÓS $39.95 POSSO $56.95 (UK cerca 30 libras)
------------------------------------------------------------------------------- 5.2 Sugerido ferramentas e programas ------------------------------------------------------------------------------
Há muitas boa segurança grátis programa disponível para plataformas comuns tal como Solaris, IRIX, Linux, AIX, HP-UX e Windows Nt, nós recomendamos você olha no seguinte websites para informação em tais ferramentas de segurança grátis :
ftp://coast.cs.purdue.edu/pub/tools/unix/ http://www.alw.nih.gov/Security/prog-full.html http://rhino9.ml.org/software/
Ltd De Soluções De Segurança De Rede., está também correntemente desenvolvendo um plethora de ferramentas de segurança para Unix e Windows baseado plataformas, essas vontade está disponível acima dos próximos meses poucos, sentem liberam visitar nosso site no http://www.ns2.co.uk , também tem cuidado grátis 'lite' versões de nosso software!
-------------------------------------------------------------------------------
Copyright (c) Ltd De Soluções De Segurança De Rede. 1998 Todos Os Direitos Reservados, todas marcas registradas reconhecidas
http://www.ns2.co.uk
Este documento pode ser distribuido no domínio público enquanto o acima notas de copyright permanecem intactas.
-------------------------------------------------------------------------------
Nenhum comentário:
Postar um comentário