Спецвыпуск журнала «Хакер» #47, октябрь 2004 г. - Хакер

Естественно, артобстрел необходимо вести через защищенный канал.

Атака на honeypot

Будучи по своей природе обычным узлом сети, honeypot подвержен различным DoS-атакам. Наиболее уязвим сетевой сенсор, обязанный прослушивать весь проходящий трафик. Если удастся вывести его из игры, факт вторжения в систему на некоторое время останется незамеченным. Естественно, атакуемый узел должен остаться живым, иначе некого атаковать. Будем исходить из того, что сенсор принимает все пакеты. Тогда, послав пакет на несуществующий или любой ненужный узел, мы завалим противника.

Как вариант, можно наводнить сеть SYN-пакетами или вызвать ECHO-death (шторм ICMP-пакетов, направленный на жертву с нескольких десятков мощных серверов, что достигается спуфингом IP-адресов).

Саму же атаку лучше всего осуществлять поверх протоколов, устойчивых к перехвату трафика и поддерживающих прозрачное шифрование, ослепляющее сетевой сенсор. Чаще всего для этой цели используется SSH (Secure Shell), однако он ограничивает выбор атакующего только явно поддерживающими его узлами, что сводит на нет весь выигрыш от шифрования.

Заключение

Сила honeypot'ов – в их новизне и неизученности. У хакеров пока нет адекватных методик противостояния, но не стоит думать, что такая расстановка сил сохранится и в дальнейшем. Архитектура honeypot'ов плохо проработана и уязвима. Уже сегодня опытному взломщику ничего не стоит обойти их, завтра же это будет уметь каждый подросток, установивший *nix и, презрев мышь, взявшийся за клавиатуру.

Мнение эксперта

Никита Кислицин, редактор рубрики «Взлом» журнала «Хакер»:

«Не стоит думать, что honeypot и honeynet – это что-то экзотичное, чрезвычайно редкое и малоэффективное. Это не так. Могу совершенно определенно сказать, что в ряде сетей популярных российских сетевых проектов действуют развернутые сети honeypot, которые вылавливают тысячи скрипткидисов в месяц. Хотя иногда попадаются и действительно ценные рыбки – взломщики с приватными сплоитами, которые пытаются повалить какой-то сетевой демон доселе неизвестным shell-кодом. Это является первоочередной задачей подобных систем. Именно поэтому сетевому взломщику чрезвычайно важно уметь идентифицировать и определять honeypot-системы, чтобы не пропалить собственные секреты».

Типичный honeypot представляет собой грандиозный программно-аппаратный комплекс, состоящий из узла-приманки, сетевого сенсора и коллектора.

Лучше атаковать жертву через цепочку из трех-пяти хакнутых компьютеров, а в сеть выходить по GPRS через чужой сотовый телефон, как можно дальше отъехав от своего основного места жительства, чтобы абонента не смогли запеленговать в собственной квартире.

Выходить в сеть по коммутируемому доступу равносильно самоубийству, в особенности со своего домашнего номера.

Многие бесплатные прокси в действительности являются приманками, установленными спецслужбами и существенно помогающими им в отлове горе-хакеров.

Honeypot удобнее всего выявить сканером портов, работающим через «немой» узел и потому надежно скрывающим IP-адрес атакующего.

Архитектура honeypot'ов плохо проработана и уязвима.

Special Delivery

Боевой Софт / Обзор хакерского Софта для *nix

Vint ([email protected])

Существует огромное количество различного хакерского софта для никсов. Это и переборщики паролей, и сканеры портов, и сниферы, и руткиты, и, и, и… Как выбрать наиболее подходящий? Читай этот обзор!

knockers (www.knocker.sourceforge.net)

Очень простой, но чрезвычайно функциональный сканер портов. Размер дистрибутива – всего 72 килобайта. Собирается на любой UNIX-like-машине с помощью трех стандартных команд. Вся работа происходит из консоли. Скорость работы просто феноменальная. Много режимов сканирования: сканирование одного порта, группы портов, всех возможных портов. Показывает не только номер открытого порта, но и сервис, скрытый за ним. Очень удобно использовать именно этот сканер при анализе с удаленной машины: встроена опция, позволяющая отправлять весь вывод в отдельный файл.

Давно не обновлялся. Нет возможности изучать сразу несколько машин или всю сеть. Нельзя сканировать UDP-порты. Используется сканирование «в лоб», то есть твои исследования могут быть легко обнаружены бдительным админом.

Софтина определенно заслуживает твоего внимания. Это маленькая, но незаменимая утилита в арсенале хакера. Со сканированием TCP-портов удаленного хоста она справляется хорошо.

Web Password Checker (WPC) v 0.1

(www.downloads.securityfocus.com/tools/wpc-0_1b.tar.gz)

Утилита, предназначенная для перебора паролей web-страниц. Пригодится тебе, когда нужно подобрать связку логин-пароль для формы регистрации.

Возможна работа через прокси-сервер. Программа способна искать пароли как по словарю, так и брутфорсом. Есть возможность «растягивать», то есть делать паузы между попытками, что позволяет дольше оставаться незамеченным. WPC пытается использовать общеизвестные механизмы трансформации логина и полученный мод скармливает форме в качестве пароля; есть возможность задать уровень сложности. Примером такого запроса может служить вариант: логин – root, пароль – toor (root1 и т.д.), это одна из самых простых связок, выдаваемых программой.

Непродуман брутфорс-механизм – нет возможности ограничить используемые символы пароля, что резко сократило бы время поиска. Не поддерживается SSL, а, значит, атака на многие сервисы невозможна (тот же Webmin).

Сразу видно, что программа имеет очень широкий диапазон применения. Удобно использовать эту софтину для взлома чатов, почтовых ящиков. Но подобрать пароли на защищенных страницах невозможно.

Ettercap (www.ettercap.sourceforge.net)

Твоему вниманию предлагается свободно распространяемый снифер с кучей возможностей. Разработанный механизм плагинов делает этот инструмент очень гибким и расширяемым. Так, если в базовой конфигурации мы имеем только «нюхача», то дополнительные модули позволяют проге выполнять функции поисковика другого Ettercap’a (вдруг администратор-параноик и сам снифает локаль в поисках хакеров!) и т.д. Просмотреть все подключенные плагины можно, отдав команду «ettercap -p list». Кроме того, снифер привлекателен своим графическим интерфейсом (UNIX начал активно использовать красивые фейсы). Отображая все компьютеры, найденные в сети, программа предлагает тебе выбрать необходимые для изучения хосты и действия на них. Если где-то тормозишь – снифер имеет обработчик кнопочки «F1». Дополнительно Ettercap может определять удаленную систему, используя отпечатки из базы nmap.

Минусы Возможна работа только с eth, а PPP и lo не поддерживаются. Хотя практического интереса в этих двух интерфейсах нет, но кто сказал, что мы не хотим тренироваться на своей машине?

Программа определенно достойна твоего внимания. Попробовать, изучить, сохранить в локальном арсенале – вот путь данной софтины.

Ethereal (www.ethereal.com)

Эта утилита по функциональности похожа на Ettercap, но имеет некоторые необходимые фичи.

Основным отличием Ethereal является gtk-base-интерфейс. Еще софтина поддерживает не только eth-интерфейсы, но и lo с PPP. Если говорить о функциональности, то и тут сканер на высоте: имеется не только очень простая и мощная система фильтров, которая заметно облегчает процесс сбора информации, но и способность объединения отдельных пакетов в документы (html-странички, электронные письма). Кстати, крайне полезная штука: автоматически собранные странички сейвятся на локальном диске, и, поставив на ночь снифер, ты сможешь просмотреть утром, где же были твои соседи. С этого момента все порноресурсы интернета станут для тебя бесплатными ;-).

Пока не реализовано соединения пакетов ICQ-протокола, но это можно объяснить особенностью транспортировки сообщения.

Советую скачать этот снифер, сравнить его с конкурентом и выбрать, что тебе понравится больше. Программа очень мощная, особенно если изучить руководство и man.

SCANSSH V2.0 (www.monkey.org/~provos/scanssh/)

Софтина сканит локальную сеть в поисках запущенных демонов SSH и определяет версию сервера.

Маленькая утилитка делает огромную работу по упрощению изучения сетей. Таким образом, с помощью этого приложения в течение нескольких минут можно просмотреть всю локалку и получить IP хостов, на которых запущенны сервисы SSH. Но самое главное назначение – это определение версии демона. После такого анализа, рассматривая логи, можно легко найти жертву для взлома.

Обновляется недостаточно часто, и, как результат, не все сервера определяются корректно.