Искусство вторжения - Кевин Митник
Шрифт:
Интервал:
Закладка:
Тем временем Адриан занялся собственной реабилитацией, обратив свои таланты на свою собственную жизнь. Он поступил на курсы журналистов в колледже Сакраменто: он начал писать статьи для местной газеты и подрабатывать внештатно для других изданий. «На мой взгляд, журналистика — лучшая карьера, которую я мог бы выбрать, и которая доставляла бы мне удовольствие — в ней есть любознательность, стремление взглянуть на вещи с необычной стороны, желание узнать больше об окружающем нас мире. Совершенно такие же мотивы привели меня к хакерству».
Я надеюсь, Адриан честен со мной и с собой, когда говорит о новом курсе своей жизни.
«Я солгал бы, если б сказал, что могу поверить в полную перемену человека за одну ночь. Я не могу потерять свое любопытство за ночь, но я могу использовать его таким путем, чтобы не наносить ущерба другим людям. Поскольку главное, что я вынес из всего случившегося, — это то, что за сетями стоят реальные люди. Я на самом деле не смогу больше заниматься хакерством и не думать о тех людях, которым придется беспокоиться о моих попытках ночи напролет,
Я думаю, что журналистика и фотография для меня служат интеллектуальным аналогом криминальных действий. Они дают пищу моему любопытству, позволяют мне взглянуть на вещи иначе, дают возможность развиваться в русле законопослушности».
Он рассказал мне и о своих планах работать внештатным автором для Network World. Они уже связывались с ним, и хотели, чтобы он был для них источником информации: он предложил им идею — вместо своих интервью вести у них постоянную колонку. Издатель согласился. Таким образом, вместе с информацией для хакеров появятся его тексты для сетевых администраторов.
«Журналистика — э т о то, чем я хотел бы заниматься. Я чувствую, что могу сделать что-то необычное и это не совсем то, что вы получаете от работы в области безопасности. Безопасность — это такая отрасль индустрии, которая во многом зависит от человеческих страхов и незнания компьютеров и технологий. Журналистика в значительно большей степени имеет отношение к правде.
Хакерство — это уникальное самовыражение человека. Оно включает в себя сосредоточение огромной потенциальной власти в руках одного человека, власти, которой обычно пользуются только правительство или крупный бизнес. Мысль о том, что несколько подростков могут отключить энергосистему страны приводит в ужас представителей правительства. И это вполне понятно».
Он не считает себя хакером, взломщиком или атакующим. «Я хотел бы процитировать Боба Дилана: „Я не проповедник и не торговец. Я просто делаю то, что делаю“. Я счастлив, когда люди понимают или хотя бы стремятся понять это».
Адриан говорит, что ему предлагали хорошие должности в военных и государственных учреждениях. Он отказался от этих предложений. «Многим людям нравится заниматься сексом, но далеко не каждый готов зарабатывать этим».
В этом весь Адриан — думающий хакер.
АНАЛИЗ
Что бы вы ни думали о позиции и действиях Адриана Ламо, хотелось бы думать, что вы согласитесь со мной по поводу несправедливости определения нанесенного им вреда федеральными органами.
Я знаю из своего опыта, как правоохранительные органы вычисляют предположительную сумму ущерба в хакерских случаях. Первый способ — получить сведения от компаний, которые переоценивают свои потери в надежде заставить хакера раскошелиться и не доводить дело до суда. В процессе разбирательства адвокат и прокурор обычно сходятся на несколько меньшей сумме: по федеральным законам, чем больше ущерб, тем более долгий срок заключения ожидает хакера.
В случае, произошедшем с Адрианом, Прокурор США проигнорировал тот факт, что именно от него компании узнавали о собственной уязвимости. Каждый р а з он з а щ и щ а л компании, указывая им на ту или иную прореху в их системе безопасности, и ожидал, пока они ликвидируют проблему, чтобы лишь потом опубликовать новость о своем удачном взломе. Да, он нарушал закон, но он действовал (во всяком случае, в ставших известными случаях) абсолютно этично.
КОНТРМЕРЫ
Подход, используемый атакующими, в том числе и Адрианом, заключается в запуске запроса «Кто это», что может помочь отыскать немало ценной информации, содержащейся в четырех NIC (Network Information Center — центр сетевой информации), покрывающих различные географические районы мира. Большинство информации в этих базах данных является общедоступными сведениями, которые может узнать любой пользователь приложения «Кто это» или посещающий Интернет-сайт, предлагающий подобные услуги, или заходящий на сайт nytimes.com.
Предоставляемая информация может содержать имя, адрес электронной почты, физический адрес и телефонный номер административных и технических контактов для этого домена. Эта информация вполне может использоваться для атак с использованием методов социальной инженерии (см. Главу 10, «Социальные инженеры — как они работают и как их остановить»). Кроме того, это может навести на мысль о структуре адресов электронной почты и имен пользователей в компании. Например, если адрес электронной почты одного из сотрудников Times выглядит, как [email protected] , естественно предположить, что и многие другие сотрудники Times используют свое имя для адресов электронной почты, а также и для подписи.
Как видно из истории атаки Адрианом газеты The New York Times, он так же получил ценную информацию об IP-адресах и сетевых блоках газеты, что легло в основу успеха его атаки.
Чтобы ограничить утечку информации, любой компании было бы полезно хранить список телефонов компании только на ее телефонной станции, а не делать его доступным всем желающим. Сотрудники в приемной компании, отвечающие на телефонные звонки, должны проходить специальную подготовку, чтобы они могли быстро распознавать атаки социальных инженеров. Кроме того, в качестве адреса электронной почты следует приводить адрес издательства, а не список личных адресов сотрудников.
Более того: сегодня компаниям позволено не обнародовать свою контактную информацию и имя домена — они не должны теперь предоставляться любому желающему по первому требованию. По специальному запросу список адресов вашей компании может быть засекречен, что затруднит проникновение атакующих.
Еще одна полезная мысль высказана в приведенной истории: следует использовать горизонтально разделенные DNS. Это означает, что нужно организовать внутренний DNS-сервер. который определяет имена пользователей во внутренней сети, в то время как внешний DNS-сервер будет содержать имена для использования внешними пользователями.
В качестве другого метода разведки хакер запрашивает DNS, чтобы выяснить, на каких операционных системах работают компьютеры компании, а также чтобы получить информацию о структуре всего домена. Эта информация очень полезна при координации усилий в ходе дальнейшей атаки. База данных DNS может содержать сведения обо всех узлах сети (HINFO — Host Information). Сетевой администратор должен всячески избегать появления HINFO-записей на любом публично доступном DNS-сервере.
Еще один из хакерских приемов основан на использовании операции под названием «перенос зоны» (zone transfer). (Адриан рассказывал, что использовал этот метод в своих атаках на сайты The New York Times и [email protected], но оба раза неудачно). Для защиты данных первичный DNS обычно конфигурируется так, чтобы позволить другим авторизованным серверам копировать DNS-записи из конкретных доменов; этот процесс копирования называется переносом зоны. Если первичный сервер сконфигурирован неправильно, атакующий может запустить процесс переноса зоны на любой указанный им компьютер, и таким образом получить подробную информацию обо всех именах узлов и связанных с ними IP-адресов домена.
Для защиты от такого типа атак необходимо разрешить перенос зоны только между определенными компьютерами, это необходимо для нормального ведения бизнеса. Более подробно: первичный DNS-сервер должен быть сконфигурирован так, чтобы позволять перенос только на проверенные вторичные DNS-сервера.
Вдобавок к этому по умолчанию необходим межсетевой экран, чтобы блокировать доступ к ТСР-порту 53 на любом корпоративном сервере. Еще одно правило межсетевого экрана должно разрешать проверенным вторичным серверам имен соединяться с ТСР-портом 53 и инициировать перенос зоны.
Компании должны максимально затруднить атакующим использование т е х н и к и обратного просмотра DNS. До тех пор, пока удобно использовать имена узлов, которые дают понять, какой из узлов для чего используется — такие имена, как database.CompanyX.com — очевидно, что это упрощает хакеру поиск нужно системы, достойной его атаки.
Другая техника сбора информации на основе обратного просмотра DNS содержит использование словаря и атаки грубой силы. Например, если вы собираетесь атаковать домен kevinmitnick.com, то словарная атака будет добавлять любое слово из него к имени домена в виде «слово».kevinmitnick.com, чтобы выявить другие узлы на этом домене. Обратная DNS-атака грубой силы гораздо сложнее, здесь на месте слова из словаря стоит последовательность букв и цифр, которая с каждой новой попыткой меняется на единицу или на новую букву. Чтобы заблокировать этот метод корпоративный DNS-сервер должен быть так сконфигурирован, чтобы устранить возможность публикации любого внутреннего имени узла. Внешний DNS-сервер может использоваться вместе с внутренним таким образом, чтобы внутренние имена узлов не могли «утечь» в другую сеть. В дополнение к этому, использование раздельных внутреннего и внешнего серверов имен помогает справиться с проблемой, упомянутой выше, касающейся имен узлов: внутренний DNS-сервер. защищенный от внешнего взгляда с помощью межсетевого экрана, может использовать такие имена узлов как databas, research и backup с небольшим риском.