Hack FAQ

SideX (hack-faq@real.xakep.ru)

Xakep, номер #058, стр. 058-046-1

Задавая вопросы, конкретизируй их. Давай больше данных о системе, описывай абсолютно все, что ты знаешь о ней. Это мне поможет ответить на твои вопросы и указать твои ошибки. И не стоит задавать вопросов, вроде "Как сломать www-сервер?" или вообще просить у меня "халявного" Internet'а. Я все равно не дам, я жадный :).

Q: Кореша говорят, что я им вирусы шлю почтой. Что за хрень? Проверил себя Каспером - все чисто. Ни соринки, ни червячка! Почему они получают письма от меня?

A: Когда-то высоченным уровнем вирусной крутости была зараза, звонившая модемом на номер в Греции, аналогичный нашему "100". Сейчас же арсенал вирмейкеров значительно расширился, свежие черви - прямое тому свидетельство. Тебя подставил очередной сетевой червь, распространяющийся по мылу. Одним из самых ярких представителей подобных "кидал" последнего времени стал червь Sobig.F. Вкратце опишу технологию его работы. Зараза, попав на компьютер жертвы (при запуске exe-файла из приложения письма), сканирует все текстовые файлы, файлы переписки (eml), database'ы. Вирус отыскивает все имеющиеся e-mail'ы и начинает рассылку от их имени, т.е. находит твой адрес и уже с него продолжает рассылать себя (exe-файл, повторюсь). Типичные сабжи писем - Re: That movie; Re: Wicked screensaver; Re: Your application; Re: Approved; Re: Re: My details; Re: Details; Your details; Thank you!; Re: Thank you! Логичная защита: слить последнюю версию AV'ера, постоянно обновлять его базу, проверять апгрейды почтового клиента, быть бдительным, как Глеб Жеглов, при получении писем даже от хорошо знакомых людей. Самые любознательные, которым мало очередных страшилок об "эпидемиях убийственных червей" из околокомпьютерной рассылки, пойдут на сайт avp.ru, где расположена самая полная русская энциклопедия вирусов. Практический пример эпидемии: автор (т.е. я) получил за месяц 1248 писем, 1000 из них были инфицированы Sobig.F'ом, плюс пришла куча писем-ответов о невозможности доставки mail'а, посланного червем от моего имени.

Q: Что такое fingerprinting ОС? Что с него можно получить полезного по хозяйству?

A: Fingerprints, дословно - отпечатки пальцев. В области сетевой безопасности fingerprint применяется, чтобы узнать, какая операционка крутится на удаленной машине. Системные администраторы снимают fingerprint'ы, например, для анализа подопечного сегмента сети: что у кого и как, кому надо бы обновиться, где оборудование явно слабовато для выбранной системы и т.д. Сканирование удаленных хостов также используется при маркетинговых исследованиях сети: какая система наиболее популярна, какие приложения используются. Зная соотношения используемых систем на рынке, легче подготавливать коммерческий софт, который будет пользоваться большим спросом. Часто результаты массовых сканирований выбрасывают в Сеть для бесплатного обзора - netstat.ru, netcraft.com. Если бы хакеры не занимались fingerprinting'ом, не было бы и вопроса в журнале: взломщики сканят сеть, чтобы выловить машины для последующего взлома! Например, есть эксплоит под sendmail, который пашет на HP-UX, но откажется работать с AIX. Самый ходовой способ вычисления ОС на хосте - снятие баннеров на портах различных сервисов. Например, telnet и ftp обычно выдают их в чистом виде или по набивке команды syst в случае с ftp. Профессиональный и популярный инструмент для определения системы - nmap. Навскидку это строка: nmap -sS -O -oN (SYN scan, fingerprint и лог в файл). Подробнее о проблеме определения ОС на удаленной машине читай на сайте nmap'a - www.insecure.org.

Содержание  Вперед на стр. 058-046-2
ttfb: 12.234210968018 ms