утрішні ресурси (видалення інформації на корпоративному Web-сервері, пересилання спаму через поштовий сервер і т.д.) і які часом обходять ваш міжмережевий екран (МСЕ) для того, щоб проникнути в вашу внутрішню мережу. Зловмисники можуть атакувати з Internet, через модемні лінії, через фізичне підключення до каналів зв'язку або з мережі партнерів (постачальників, замовники, дилери і т.д.). Insiders - це ті, хто перебуває всередині Вашої мережі, і мають повний доступ до ваших серверів. Вони включають користувачів, неправильно використовують свої привілеї, або виконуючих роль привілейованого користувача (наприклад, з привілейованого терміналу). Дослідження показують, що 80% дірок захисту створюються саме insiders. Зауважимо, що МСЕ не забезпечують захисту проти них.
Існує кілька типів порушників: Joy riders (Любителі веселих прогулянок у чужому автомобілі) через те, що вони можуть. Vandals (Вандали) викликають руйнування або залишають свої сліди на ваших Web-сторінках. Profiteers (Спекулянти) мають намір отримати прибуток від своїх дій, таких як крадіжка корпоративних даних та їх продаж.
Розглянемо основні шляхи, по яких порушники проникають в систему.
Фізичне вторгнення. Якщо порушник має фізичний доступ до комп'ютера (тобто вони можуть використовувати клавіатуру або частина системи), вони зможуть проникнути в неї. Методи можуть бути різними - від спеціальних привілеїв, які має консоль, до можливості використання частини системи та зняття вінчестера (і читання/запису його на іншій машині).
Системне вторгнення. Цей тип хакерської діяльності передбачає, що порушник вже має обліковий запис в системі як користувач з невисокими привілеями. Якщо в системі не встановлені найостанніші патчі захисту, у порушника є хороший шанс спробувати здійснити відому атаку для отримання додаткових адміністративних привілеїв.
Віддалене вторгнення. Цей тип хакерської діяльності має на увазі, що порушник намагається проникнути в систему через мережу з віддаленої машини. Цей порушник діє без будь-яких спеціальних привілеїв. Існує кілька типів такої хакерської діяльності. Наприклад, порушник витрачає набагато більше часу і зусиль, якщо між ним або їй та обраної машиною встановлений МСЕ.
Приблизно так виглядає типовий сценарій атаки:
Стадія 1: зовнішня розвідка. Порушники збирають якомога більше інформації про атакується системі, нічим себе не видаючи. Вони можуть робити це, збираючи доступну інформацію, або маскуючись під звичайного користувача. На цій стадії ви дійсно не зможете виявити їх. Порушник буде виглядати хто є хто raquo ;, щоб зібрати якомога більше інформації про вашої мережі, яка зареєстрована разом з вашим доменним ім'ям (таким як, наприклад, microsoft). Порушник, можливо, пройдеться по вашим DNS-таблицях (використовуючи nslookup raquo ;, dig або інші утиліти, використовувані для роботи з DNS), щоб знайти імена ваших машин. Порушник буде розшукувати іншу інформацію для відкритого використання, таку як ваші публічні Web - і FTP - сервера з анонімним входом. Порушник може переглядати нові статті або прес-релізи про вашу компанію і т.д.
Стадія 2: внутрішня розвідка. Порушник використовує більш сильні методи для отримання інформації, але як і раніше не робить нічого шкідливого. Він може пройти через всі ваші Web-сторінки і подивитися CGI-скрипти, які дуже часто піддаються атакам хакерів. Він може запустити утиліту ping для того, щоб подивитися які комп'ютери активними в мережі. Він може провести сканування UDP/TCP-портів на намічених для атаки комп'ютерах для того, щоб визначити доступні сервіси. Він може запустити утиліти типу rpcinfo raquo ;, showmount raquo ;, snmpwalk і т.д. для того, щоб визначити, які служби є доступним. В даний момент порушник веде нормальну діяльність в мережі і немає нічого, що могло бути класифіковане як порушення. У цей момент NIDS можуть сказати вам, що хтось смикає за ручки дверей raquo ;, але поки що ніхто не ломиться в зачинені двері.
Стадія 3: exploit. Порушник перетинає кордон і починає використовувати можливі уразливості на виділених комп'ютерах. Порушник може спробувати скомпрометувати CGI скрипт, посилаючи команди shell в полях вхідних даних. Порушник може спробувати використовувати добре відомі уразливості переповнення буфера raquo ;, посилаючи велику кількість даних. Порушник може почати перевірку облікових записів з легко бираються (або порожніми) паролями. Хакер може пройти через кілька стадій атаки. Наприклад, якщо хакер зміг отримати доступ до облікового запису звичайного користувача, то потім він намагатиметься здійснювати подальші подвиги для того, щоб отримати доступ до облікового запису супервізора root/admin.
Стадія 4: приховування слідів. На цій стадії хакер успіш...
