Инструментарий хакера

 

Инструментарий хакера.

 

 

А нужен ли инструментарий?

Мы подробно рассматривали вопросы формирования хакером набора инструментов. И вдруг такой провокационный вопрос: а нужен ли инструментарий?

Действительно, практика показывает, что зачастую раздобыть конфиденциальные сведения злоумышленник может вообще без применения каких-либо специальных средств и приемов.

 

Начнем с простого примера. У вас нет маршрутизатора ZyXEL (как и у автора этой книги)?! У друзей его тоже нет! Но, если вдруг для написания книги вам понадобится стенд на подобном оборудовании, вы можете подойти к большому многоэтажному дому, и там обязательно найдется то, что нужно: без паролей, в свободном доступе… Не нужны сложные манипуляции для проникновения с применением программ, эксплойтов и т. д. Все даром (в плане трудо-затрат, конечно)!

 

Не понятно даже — будет ли вообще это нарушением закона, если сам хозяин предоставил всем это всё в открытое пользование? Разбираться в этом — прерогатива юристов, а мы же попробуем на минутку представить, что злоумышленник хочет совершить преступные действия. Он просто подключится к роутеру такого соседа и осуществит задуманное. Ему даже не нужно искать публичную точку доступа, тем более, всегда есть опасность, что там может быть установлена камера видео наблюдения.

 

Как вы думаете, данные о чьем IP-адресе запишутся в свидетельствующих о преступлении лог-файлах (протоколы с данными аудита)?! А если беспечный владелец роутера переругался с ботаником-соседом? Что тогда может быть?!

 

Возникает еще один закономерный вопрос: а вы хотите сидеть в тюрьме? Любой ответит: конечно, нет! Но! Люди! Почему же тогда вы так беспечны?

 

В указанном выше случае хозяину роутера будет трудно доказывать, что нет его вины в преступлении, в котором фигурирует принадлежащий ему IP-адрес. Рассмотрим другую ситуацию. Не редко приходилось наблюдать, когда администратор, будучи профессионалом высокого класса, знающий высочайшие тонкости информационных технологий, что-то настроив на компьютере пользователя, уходя, беспечно бросает открытую сессию под своей учетной записью с правами суперпользователя.

 

Какой тут нужен специальный инструмент? Просто достаточно знания систем. Глупо рассчитывать на неосведомленность, слабую квалификацию пользователя и на то, что он не захочет повысить себе привилегии, воспользовавшись просчетом администратора. Ранее, в быту на домашних компьютерах часто встречалась интересная ситуация с операционной системой Windows XP.

 

Пользователю установлен пароль, казалось бы — все хорошо! Но оказывается, можно легко войти в систему, используя учетную запись локального администратора, т. к. на этой учетной записи никакого пароля вовсе нет. Получается как у Ильфа и Петрова: на вахте сидел сторож и строго спрашивал пропуск, а кто не давал—пускал и так!

 

В некоторых учреждениях операционную систему, а также стандартный минимально необходимый набор программного обеспечения устанавливают на компьютеры клонированием с одного образа, в котором если и есть пароль локального администратора, то он известен всем. Так тоже бывает, пароль-то технологический. И хорошо еще, если этот пароль не забудут сменить при "подгонке компьютера на месте".

 

Мы уж не говорим о том, что на компьютере с операционной системой, установленной с применением клона, требовалось специальной утилитой сменить SID (Security Identifier). Зная пароль локального администратора, при определенных условиях на хост легко войти удаленно и прочитать все! Попробуйте выполнить на компьютере с операционной системой Windows команду net share(рис.1).

 

Инструментарий хакера

Рисунок 1

 

 

 Если диск E:\ и каталог C:\Users были на этом компьютере действительно "расшарены" (share — предоставлен доступ по сети) пользователем, то все остальные ресурсы появились при инсталляции операционной системы по умолчанию. Это системные общие ресурсы. Зная пароль локального администратора или какого-либо пользователя компьютера с правами администратора, подключиться к этим ресурсам проще простого (рис. 2).

 

 

 

Инструментарий хакераРисунок 2

 

 

 

 В итоге хакер получит полноценный доступ ко всему диску (рис. 3).

 

 

Инструментарий хакераРисунок 3

 

 

И проблема здесь даже не в том, что нужно еще знать "логин пользователей и паролей" (хотя бывает, что пароль знать и не обязательно, потому что его нет, смотри примеры выше). Проблема в том, что пользователь в принципе может быть и не желал бы, чтобы на его компьютере были "расшаренные" ресурсы. Зачастую он и не знает об этом!!!

 

Некоторые специалисты расценивают наличие системных "расшаренных" ресурсов как дыру в безопасности. К слову сказать, чтобы не производить манипуляций с реестром, если в вашей организации эти ресурсы не "давятся" политиками, в подобной ситуации можно отключить ресурсы, вставив в автозапуск командный файл примерно с таким содержанием:

 

 net share d$ /delete

net share c$ /delete

net share ADMIN$ /delete

net share IPC$ /delete

 

 О применении некоторыми пользователями непрофессионально "расшаренных" ресурсов существует много интересных не выдуманных историй. Так, в одном из учреждений у начальника транспортного отдела был полностью "открыт" диск С. Для того чтобы научить его осторожности, программисты заменили один из исполняемых файлов компьютерной игрушки другим, при запуске которого выводилось сообщение:

"Внимание! Используя игровые программы в рабочее время, вы наносите ущерб компании!".

 

Интересен был результат: все заметили, что после этого начальник просто стал тщательно закрывать кабинет на ключ. Даже тогда, когда шел в соседний кабинет. Раньше такой бдительности он не проявлял. То есть, бедняга так и не понял, что доступ к его компьютеру открыт по сети, пока ему об этом не сказали прямо! Он искренне считал, что кто-то проник к нему в кабинет и самовольничал на его компьютере. Небрежность, забывчивость того, что что-то, где-то было предоставлено в общее пользование для каких-то целей на время, сиюминутно — просто бич пользователей и обслуживающего персонала в учреждениях…

 

Одной из частых причин получения несанкционированного доступа к скрытым данным, это личные  ошибки администраторов, приводящие к нарушению принципа "предоставления минимума полномочий" для осуществления пользователем его производственной деятельности. В соответствии с этим принципом прав должно быть предоставлено ровно столько, чтобы исполнитель мог только исполнять свои служебные обязанности, но никак не больше. Но администраторы — те же люди и могут ошибаться. Здесь просто необходим регулярный самоконтроль и контроль (подробнее об этом на странице "Защита информации"). Ошибки могут возникать случайно, например, в результате авральных работ при миграции данных после модернизации информационной системы.

 

Или при настройке сложной системы защиты из-за ошибок в конфигурировании. Просчеты могут быть и не случайными: в результате недостаточной квалификации администратора они скорее закономерны. В компаниях, где применяют виртуализацию в качестве основной среды обработки и на логическом уровне для доступа из сети хорошо организуют защиту какого-либо сервера, содержащего конфиденциальную информацию, могут более беспечно относиться к резервным копиям виртуальных машин. Мол, это уже не компьютер, а какой-то "непонятный файл".

 

Но, если "смонтировать" такую машину, даже не зная паролей, злоумышленник фактически получает физический доступ к серверу. А при физическом доступе сбросить пароли не сложно. В такой ситуации вполне может быть "де-факто", что список лиц, допущенных к копиям, а значит, и к конфиденциальной информации, шире, чем список лиц, официально допущенных к администрированию сервера, и об этом никто даже не задумывается…

 

Лет пятнадцать назад широкое применение имели сети передачи данных — Х25 (икс двадцать пять). Автор тогда проводил работы на одном из солидных предприятий, применяющем такую сеть. Доступ к активным устройствам сети осуществлялся терминальной программой. Система адресации в этих сетях такова, что адрес какого-либо конкретного хоста состоит из трех групп цифр… Будучи в командировке в одном из филиалов, автор этой книги в ожидании автомобиля находился в комнате, где стоял хост, с которого управляли этой сетью.

 

На активном устройстве ("свитч х25") была наклейка с адресом хоста. По логике построения одного только адреса, зная принятую нумерацию для относительного обозначения филиалов (вторая группа цифр), было понятно, как построена вся топология сети предприятия.

 

Так как автомобиль задерживался, чтобы не терять времени, автор начал читать техническую документацию на активные устройства, применяемые в качестве "свитчей" (коммутаторов) этой сети. В одном из томов было написано, что первичный пароль по умолчанию для администратора при настройке "свитча" — hello.

 

Из любопытства автор (тогда еще он был неопытен и не придерживался принципа невмешательства) попробовал "войти" в режим конфигурирования "свитча" с этим паролем. И — о чудо! Пароль работал. Но дальше больше: было совершено "путешествие" (с правами администратора) по всем активным устройствам достаточно большой сети, вплоть до самого основного, и везде был установлен (а вернее, не изменен с момента внедрения) именно этот пароль.

 

Можно было менять и настраивать все, что угодно. Вся сеть под контролем! Так как указанная сеть, не была только что построена и работала уже несколько лет, это было просто вопиюще: ситуация не была обусловлена ошибкой, это было умышленным поведением администраторов (они надеялись, что никто, кроме них, в этом ничего не понимает. "Верх" обеспечения безопасности! По-хорошему, главного администратора нужно было просто увольнять. Тем более что этот администратор обладал не совсем приемлемыми для предприятия человеческими качествами: работу он рассматривал только как временную площадку для самосовершенствования…

 

Это было основной его задачей, до фанатизма. С утра до вечера все усилия его были направлены только на обучение. И это притом, что администратор должен делать и много рутинной работы, а это было ему не интересно! Но, о психологии администраторов можно говорить долго… Расскажем, чем закончилась эта конкретная история. Автор тогда не стал докладывать об инциденте руководству, а просто сообщил обо всем этому же пресловутому администратору.

 

Пароли срочно установили (даже спасибо не сказали). Человек этот уже давно не работает в той организации, он умел себя пиарить и переехал в столицу. Его место заняли обычные трудяги, без всяких амбиций, и, в конечном итоге, добросовестно обеспечили требуемый уровень безопасности, да и сети Х25 спустя несколько лет были вытеснены IP-сетями. Почему в этом примере мы подробно рассмотрели отношение администратора к вопросам защиты? Дело в том, что зачастую именно такой пользователь с "суперправами" волей-неволей фактически представляет наибольшую угрозу и является пособником хакера.

 

Нам же с вами, чтобы уметь противостоять, следует знать противника! Не нужно думать, что наибольшую опасность представляет враг извне.

 

Легальный пользователь, как наиболее осведомленный и имеющий большие права — вот кто может представлять наибольшую угрозу. Продолжая тему о возможном доступе к информации без применения соответствующих приемов и специальных программных средств, нельзя не сказать об отношении пользователей к паролям.

 

Вы никогда не были свидетелем такого (реальный случай)? Сотрудница учреждения в присутствии посторонних людей (к которым нужно в этом случае отнести не только ее саму, но и коллег по работе) в конце рабочего дня кричит через всю улицу своей коллеге:

 

— Маруся! Какой у тебя пароль в программу… "бухгалтерия"? Там нужно еще доделать… На что та ей отвечает:

— Да там простой, Кать: восемь, семь, бэ, решетка, … (следует озвучивание пароля).

Как-то не думает эта Екатерина, что пароль нужен не для того, чтобы о нем громогласно сообщать другим! Никому не приходит в голову вывернуть свой кошелек и выставить его на всеобщее обозрение в трамвае! Почему же мы так делаем со средствами, которые представлены в электронном виде?

 

Так уж сложилось, что информацию о случаях хакерских атак, вирусных заражениях, других инцидентах, связанных с нарушениями информационной безопасности, организации всячески скрывают. И это в первую очередь связано с боязнью нанести урон деловой репутации компании.

 

Но и отсутствие информации по таким случаям плохо сказывается на понимании руководителями необходимости нести затраты в обеспечении информационной безопасности до тех пор, пока они сами "не наступят на грабли", которыми является беспечность.

 

Уверены, что если вы пройдетесь по большинству средних, а может и крупных бизнес-компаний, то в девяносто девяти процентах случаев увидите массу нарушений при эксплуатации рабочего места в дистанционном банковском обслуживании (ДБО).

 

Нарушения разные: носители с ключевой информацией не убираются в сейфы, а все время находятся в компьютере, доступ к компьютеру не ограничен узким кругом доверенных лиц, антивирусные программы либо не установлены, либо не обновляются, не выполняются другие условия, предписанные банком… Да и нашу книжку они (предприниматели) не читали. И разводят потом руководители таких компаний руками, что их деньги украли. А установить, кто это сделал, зачастую невозможно: все следы преступления, как правило, уничтожаются. При этом постфактум, очень удивляются бизнесмены, что, оказывается, нужно было предпринимать какие-то действия для обеспечения безопасности.

 

Деловые люди просто не читали требования, которых, кстати сказать, немало, при использовании ДБО, тем более на компьютере, подключенном к Интернету. Количество случаев взлома клиентских мест ДБО растет с ужасающей скоростью, и это даже при использовании двухфакторной аутентификации (когда нужно подтвердить свои полномочия двумя различными способами).

 

Что же касается того, что не очень-то афишируется информация об инцидентах, связанных с информационной безопасностью, то и автор этой книги, даже по прошествии многих лет, не может рассказать вам подробностей об ужасающих последствиях воздействия вредоносного кода в некоторых уважаемых компаниях. Достаточно сказать, что вся работа компании была парализована на несколько дней — ПОЛНОСТЬЮ!

 

Мы уже рассказывали о том, что пользователи Интернета, скачивающие бесплатные программы, могут запросто получить программу с "приклеенной" надстройкой, являющейся вредоносным кодом. И хорошо, если антивирусная программа распознает такую ситуацию, когда использовался известный ей "склейщик".

 

Но может быть и другая, еще более хитрая ситуация. Вернемся к домашним компьютерам, рассмотрим это на примере получения пользователями популярной в быту программы клиента p2p-сети FlyLinkDC++. В этой программе есть возможность удаленного администрирования (удаленное управление) — рис. 4.

 

 

 

Инструментарий хакерарисунок 4

 

 

 Нет абсолютно никакой гарантии, что вам не подложат сборку программы с уже настроенным пользователем для удаленного управления. Таким образом, если вы установите FlyLinkDC++ и при этом не "забьете" имя и пароль своими значениями, то не исключено, что программой удаленно управляет неизвестно кто. Ему останется только "расшарить" (предоставить в пользование по сети) все ваши диски, чтобы получить удаленный доступ ко всей информации

(рис. 5).

 

 

Инструментарий хакерарисунок 5

 

 

Таких программ, имеющих удаленное управление, существует множество, пример с FlyLinkDC++ — не исключение. Нужно быть очень осторожным, скачивая их с различных, непроверенных источников и устанавливая "по умолчанию".

 

 Попутно отметим, что автор этой книги не раз видел конфиденциальную информацию пользователей сети p2p, самостоятельно полностью "расшаривших" свои диски по недоразумению или в результате неопытности. Очень часто "открывают", не разбираясь, папку "Мои документы" (рис. 6).

 

 

Инструментарий хакерарисунок 6

 

 

А в ней находятся различные документы, взятые с работы и, судя по всему, без ведома работодателя. Встречаются и копии личных документов с персональными данными, начиная от паспорта или водительских прав и заканчивая различными дипломами… Находятся файлы, содержащие данные учетных записей. Чего только нет! Тем более что выбор большой, т. к. среди сотен пользователей подобные всегда найдутся.

 

Если вернуться к статьям, которые вы читали ранее, то вы сами понимаете что получить доступ к данным — нет ничего проще. Таких способов много. Но приведем алгоритм только одного из них, именно в данной главе, т. к. для этого не требуется специализированного инструментария, и исключительно из-за оригинальности метода.

 

Например, для операционной системы Windows 7 такой алгоритм подходит, если имя пользователя в системе известно и только требуется "обойти" или восстановить забытый пароль. Заключается он в следующем:

 

  1. Загружаемся с установочного диска операционной системы и выбираем в главном меню команду Восстановление системы.
  2. Выбираем способ восстановления — Командная строка.
  3. Вводим команду regedit (для редактирования реестра).
  4. Устанавливаем курсор на ветке реестра HOST_KEY_ LOCAL_MACHINE, в меню "Файл" выбираем "Загрузить куст".
  5. Выбираем файл, если ОС Windows была установлена на диске С:\, то по следующему пути: C:\Windows\System32\Config\System, и далее выполняем команду «Открыть».
  6. На предложение дать название новой ветке назовем ее 12345678 (любое название).
  7. Теперь в ветке HOST_KEY_ LOCAL_MACHINE находится созданный нами пункт с именем 12345678.
  8. В этом разделе находится подраздел setup.
  9. Нужны два ее параметра (рис. 7).

 

 

 

Инструментарий хакера

Рисунок 7

 

 

 

10.Выбираем строку SetupType, и дважды щелкаем по ней мышью, вводим

новое значение: вместо нуля — 2 .

 

11.Параметру CmdLine присваиваем cmd.exe.

 

12.После ввода всех этих параметров нужно выйти из редактора реестра.

 

13.Далее необходимо вновь войти в редактирование реестра, найти в HOST_

KEY_ LOCAL_MACHINE нашу новую веточку с именем 12345678 и установить на нее курсор.

 

14.Через меню Файл выполняем команду "Выгрузить куст"…

 

15.Извлечем загрузочный диск и произведем перезагрузку.

 

16.При появлении командной строки (вместо привычного экрана с запросом имени и пароля) выполним команду:

net user "имя_пользователя" "новое_значение_пароля" Если имя состоит из одного слова, кавычки не обязательны.

 

17.При появлении привычного экрана с запросом имени и пароля используется уже новое значение пароля. Как вы уже поняли, оригинальность метода состоит в том, что вышеуказанными манипуляциями в реестре мы как бы сообщаем системе о том, что инсталляция проведена не до конца и, "подставив" вызов командной строки, устанавливаем новый пароль. Нельзя удержаться, чтобы не привести некоторые комментарии, правда, несколько не по теме этой главы.

 

Если бы мы рассматривали вопрос получения паролей при физическом доступе к компьютеру в других главах, где нужно было бы упомянуть об инструментарии хакера, то отметили бы, что для получения "хэш-функции" паролей учетных записей хорошо подойдет программа ElcomSoft System Recovery (при загрузке со специального компакт-диска). А уж расшифровку этих значений неплохо производить с применением программы Proactive System Password Recovery.

 

А сейчас представим себе такую ситуацию: в компании уволили юриста, который занимался всеми важными договорами, а на его место взяли друга управляющего. Через полгода после этого на компьютере юриста вдруг исчезла информация, связанная с этими договорами. Не имея электронной базы по указанным договорам, фирма оказалась в затруднительном положении.

 

Это грозило финансовыми потерями, тем более что копий информации, понадеявшись на русское "авось", никто никогда не делал. Не возникало даже малейшего подозрения на старого, обиженного специалиста, поскольку прошло уже полгода. Думали на всех, начиная от своих сотрудников и заканчивая злобными хакерами, нанятыми конкурентами и проникшими на компьютер посредством Интернета! Но в действительности все оказалось совсем не так.

 

Предыдущий юрист, когда над ним стали сгущаться тучи (попросту говоря, началась кампания по его выживанию), применил простейший прием, который мы условно назовем "кормушка".

 

Есть "корм" в кормушке (здесь это файл flag) — "злая" программа "не съедает" информацию, нет "корма" — все срабатывает, удаляется важная информация и сама "злая" программа.

Не используя никаких специальных программ, инструментов, злоумышленник просто разместил в каталоге Windows (там менее заметно) командный

 

файл d.bat следующего содержания:

if exist flag goto end

del c:\"Важные договора"\*.doc /S

del *.bat

:end

 

В планировщике заданий (в Windows 7 запускается командой Планировщик) обиженный юрист завел задание на запуск файла d.bat через полгода, с периодичностью запуска раз в месяц, так, как показано в нашем примере

(рис. 8 и 9).

 

 

Инструментарий хакера

 Рисунок 8

 

Инструментарий хакера

Рисунок 9

 

 

Все предусмотрено так, что если в момент запуска задачи в каталоге с Windows не было файла с именем flag (который бывший юрист туда подбрасывал или удалял по собственному усмотрению, в зависимости от обстоятельств), то происходило удаление всех файлов в формате DOC из каталога C:\. Важные договора (и всех подкаталогах тоже, т. к. стоит ключ /S), уничтожался сам командный файл (т. е. следы).

 

 В назначенное время, почти через полгода, запустился командный файл и, не обнаружив файла flag, удалил все, что было предписано. Такой прием, оставив "бомбу замедленного действия", может применить бухгалтер, программист, кто угодно! При этом не нужно обладать какими-то особыми знаниями, уметь программировать, или устанавливать специальные программы. Все делается средствами операционной системы.

 

В UNIX-системах роль планировщика выполняет процесс cron. При желании можно и усложнить "кормушку", например, почистить все важные данные в сети (или подменить на искаженные, чтобы принести значимый ущерб, но с более запутанными следами), сам файл флага настроить на какой-нибудь общедоступный каталог сети, и удалить следы в реестре о задании в планировщике заданий…

 

Кому придет в голову подозревать человека, при отсутствии доступа к компьютеру, спустя полгода после его увольнения, да еще при полном отсутствии следов?! Да и антивирусная программа такую закладку не обнаружит. В нашем конкретном рассматриваемом случае причина была найдена лишь потому, что человек, применивший кормушку, не позаботился об удалении задания в планировщике заданий, а сам компьютер после произошедшего был передан на анализ специалисту.

 

В заключении отметим, что все примеры, рассмотренные нами в этой главе, взяты из практики и достаточно ярко демонстрируют, насколько легко получить (или уничтожить) информацию хакеру, просто злоумышленнику, даже не применяя специального инструментария. Мало того, жизнь показывает, что и применить-то некоторые из приемов может даже не хакер (в нашем привычном понимании этого слова), и вообще не специалист в области информационных технологий, а обычный, продвинутый пользователь…

 

Мне остается добавить, что не стоит забывать об уголовной ответственности, которая в буквальном смысле следует по пятам за хакером!  Статья_272 УК РФ

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

This blog is kept spam free by WP-SpamFree.