На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Коротко о компьютерной невидимости


Интернет стал полигоном для испытания самых грозных форм компьютерной заразы. Эксперты по компьютерной безопасности пре­дупреждают, что в Интернете зафиксирован новый «компьютерный
червь», вирус, который, попав в компьютер, делает невидимыми сайты и отключает целые сети. Этот вирус специалисты окрестили «Lion» («Лев»). Он не причиняет вреда интернет-броузерам, а ищет DNS-cep-веры, работающие на основе Linux. Интересно, что специалисты уже в январе этого года предсказывали возможность появления такого виру­са. И была даже разработана «заплата», делающая невозможным рас­пространение «компьютерного червя». Но далеко не все администра­торы «защитили» свои сети.
Около сайтов по каким-то причинам не установили необхо­димую программу и остались уязвимыми. Этим и воспользовался не­известный создатель вируса. Действия вируса «Lion» нельзя назвать оригинальными: попав в компьютерную сеть BIND, он пересылает па­роли на определенный адрес China.com, после чего предпринимает по­пытки распространиться на другие уязвимые серверы DNS. Впервые вирус был обнаружен в Голландии. Заметивший его старший инже­нер-исследователь Лаборатории по технологической безопасности Дартмутского колледжа Билл Стерн сразу же написал программу «Lionfind», которая позволяет администраторам сетей определить, что их сети заражены. Билл Стерн заявил, что определить, сколько серве­ров уже заражено, пока не представляется возможным. Но что его дей­ствительно удивляет — это то, что многие администраторы, распола­гавшие возможностями обезопасить себя от проникновения вируса, не сделали для этого практически ничего.
Даем пример работы программы-невидимки.
Файлы протоколов работы (log-files).
UNIX хранит системные протоколы в следующих файлах:
/var/log/utmp (/etc/utmp) - - запись о вашем текущем при­сутствии в системе. Используется программой who.
/var/log/vvtmp (/usr/adm/wtmp) — протокол всех вхождений в
систему. Используется программой last.
/var/log/lastlog (/usr/adm/bustlog) — дата последнего входа в си­стему каждого пользователя. Выдается на экран программой login.
Это не текстовые файлы и отредактировать их в vi руками не по­лучится. Для того, чтобы стереть информацию о своем присутствии, на­до использовать специальную программу, написанную для этих целей.
Часто информация о входах пользователей и о некоторых их дей­ствиях (например, запуск su) выдается на консоль администратору и в системный лог, который может называться /var/log/messages. Для мо­дификации этого файла можно воспользоваться редактором ed или vi.
Программа CRON
Сгоп — программа, которая запускает другие задачи с некоторой периодичностью. Описание этих задач и времени их запуска хранятся в файлах в двух директориях: и
Файл crontab в директории /etc или /usr/lib описывает систем­ные задачи, которые надо запускать с определённой периодичностью.
Формат этого файла:
минуты_часы_день_месяца_месяц_года_день_недели_командная_строка [0-59]   [0-23]   [1-31]   [1-12]   [1-7]   [путь, аргументы] Пример строки из crontab:
О  1* *  * /bin/sync
Это значит, что надо запускать команду sync, содержащуюся в директории /bin в час ночи каждый день. Команды, выполняемые из /tisr/lih/crontab, получают привилегии root (UID - 0).
В каталоге содержатся файлы имеющих
имена системных Эти файлы содержат сходные с со-
держащимися в файле /usr/lib/crontab, но команды из этих полей вы­полняются с ID пользователя с именем, соответствующим имени это­го файла. Формат полей аналогичен.
Обычно с помощью утилиты запускаются программы, про­веряющие целостность системы: проверяются длина и/или контроль­ные суммы файлов, наличие в системе пользователей с UID - 0, и т. д. О всех подозрительных явлениях пишется письмо root'y. При моди­фикации файлов сгоп пишется протокол в файл /usr/adm/cronlog.
В некоторых системах, например, во FreeBSD существуют ко­мандные файлы /etc/daily, /etc/weekly и /etc/monthly, /etc/daily запу­скается сгоп'ом ежедневно в 2:00 am и сравнивает информацию, выда­ваемую по команде Is -1аТ для всех suid'Hbix файлов, с информацией предыдущего дня.
Иными словами /etc/daily сравнивает /var/log/setuid. today и yesterday. О всех изменениях посылаются письма ад­министратору. Так что, если вы изменили или добавили какой-нибудь файл, не забудьте сделать соответствующие изменения в
этих двух файлах.
Некоторые способы защиты от несанкционированного доступа в среду Linux
Среда Linux легко доступна хакерам, поскольку конструирова­лась хакерами и для хакеров. В 1991 году студент Университета Хель­синки по имени Linus Torvalds начал разрабатывать бесплатное Unix
ядро для 386 машин с использованием инструментария Фонда бесплатного программного обеспечения. Его изначальный, быстрый успех привлек много Internet-хакеров, которые помогали ему разраба­тывать Linux со всеми свойствами Unix'a и полностью бесплатный с
распространяемыми исходными текстами.
Linux был не без конкурентов. В 1991 году, одновременно с ран­ними экспериментами Линуса Торвальдса, William и Lynne Jolitz экс­периментально перенесли исходные тексты BSD Unix на 386. Боль­шинство обозревателей, сравнивающих BSD технологию с ранними сырыми усилиями Линуса, ожидали, что перенос BSD сделает его главным бесплатным Unix-ом на PC.
Наиболее важная особенность Linux, однако, была не техничес­кая, а социологическая. До разработки Linux каждый полагал, что лю-
бое программное обеспечение как комплекс, как операционная систе­ма должны быть разработаны тщательно скоординированными и от­носительно маленькими группами сильно связанных людей. Эта мо­дель была и все еще остается типичной и для коммерческого про­граммного обеспечения, и для больших соборов свободно распростра­няемых программ, построенных Фондом Бесплатного Программного Обеспечения в 1980-ьгх, и для FreeBSD/NetBSD/OpenBSD проектов, которые происходили от оригинального 386BSD, перенесенного Jolitz'aMH.
Linux развивался совершенно другим способом. С самого начала он был довольно небрежно перемолот огромным числом доброволь­цев, скоординированных только через Internet. Качество поддержива­лось не по твердым стандартам или автократии, а наивно простой стратегией еженедельного выпуска и получения обратной связи от со­тен пользователей в пределах нескольких дней, созданием своего рода
быстрой селекции Дарвина на мутациях, представленных разработчи­ками. Ко всеобщему изумлению, это работало весьма хорошо.
К концу 1993 года Linux мог конкурировать по стабильности и надежности со многими коммерческими и оказал гостепри-
имство значительно большему количеству программного обеспече­ния. Это даже начало привлекать перенос коммерческих программных
приложений. Косвенным результатом этих разработок было уничто­жение большинства малых коммерческих продавцов Unix-a — без раз­работчиков и хакеров они загнулись. Один из немногих выживших BSDI (Berkeley System Design Incorporated) процветал, предлагая полные исходные тексты с Unix'oM, базирующимся на BSD, и культи­вируя закрытые связи с общиной хакеров.
Приведенные ниже примеры взлома сетей ориентированы на Linux, но могут быть с успехом применены и к большинству других Unix-подобных операционных систем. Учтите, что нет гарантирован­ного способа точно отследить каждый шаг злоумышленника, однако данная глава поможет вам начать движение в этом направлении.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика