На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

НАБЛЮДЕНИЕ ЗА ЭЛЕКТРОННОЙ почтой

Электронная почта - это наиболее уязвимый метод передачи информации через Internet. Чтобы хоть как-то обезопасить передаваемые сообщения, можно вос­пользоваться цифровыми подписями. Давайте, к примеру, рассмотрим, как хосты обмениваются почтой. Вся передача электронной почты ведется при по­мощи простейшего протокола, в котором используются команды, состоящие из ASCII-символов. Взломщику не составит труда ввести эти команды в сеансе Telnet, с помощью которого он может установить соединение с портом SMTP (Simple Mail Transfer Protocol). Хост-получатель не проводит идентификацию хоста-отправителя. Таким образом, хакер может легко просмотреть содержание почты — для этого достаточно ввести адрес отправителя, отличный от настоя­щего адреса машины хакера. Как видно, любой пользователь может легко про­читать и даже изменить вашу почту.
НАБЛЮДЕНИЕ ЗА почтой ПРИ помощи
ПРОГРАММЫ ЭЛЕКТРОННОЙ ПОЧТЫ
Большинство пользователей не просматривают адреса отпра­вителей, а может быть, даже и не знают, как это сделать.
Так или иначе, но наблюдение за электронной почтой — это наиболее простой метод атаки, В этом разделе я расскажу о том, каким образом хакер может просмотреть вашу почту, а также научу вас детектировать подобные явления. Кроме того, здесь будет рассказано об элементарных методах защиты от атак наблюдения. Для того чтобы просмотреть чью-либо почту, загрузите Netscape Navigator л выполните следующие действия:
h Откройте в Netscape Navigator меню Options и выберите пункт Mail and News Preferences. На экране появится диалоговое окно Preferences.
2. В этом окне щелкните мышью по закладке Identity. На экране появится . новое диалоговое окно.
Диалоговое окно Preferences.
3. В диалоговом окне расположена информация о вашем адресе электрон­ной почты. Чтобы изменить значение строки who, поместите в полях Your Name и E-mail Address новые значения (например, КпоскКпосЫ KnockKnock@whos-there.com).
4. После этого щелкните мышью по закладке Servers. На экране появится диалоговое окно со списком почтовых серверов. Удалите адрес Incoming Mail (РОРЗ) Server - если вы собираетесь наблюдать за чьей-либо по­чтой, то вам, конечно же, не хотелось бы, чтобы вас могли обнару­жить. Затем удалите значение, расположенное в строке server user name. Таким образом, у вас должна остаться только строка с сервером-отправителем. Мы не будем изменять ее. Однако для настоящей атаки наблюдения нужно выследить все адреса серверов-отправителей, позво­ляющих получать почту без пароля.
5. Щелкните мышью по кнопке ОК. Теперь у нас все готово для наблюдения.
проверить, от кого пришла почта, нужно использовать цифровые писим. Если же вы получите огромное количество просмотрен­ной кем-либо почты, то у вас есть возможность найти хакера. Для этого
просмотреть заголовок письма. Зачастую там располагается формация о (настоящем) сервере вашего недоброжелателя. Узнав адрес сер­вера, можно поговорить с его системным администратором и поинтересо­ваться, есть ли какие-либо меры защиты от дальнейших посягательств.
ДЕТЕКТИРОВАНИЕ НАБЛЮДЕНИЯ ЭЛЕКТРОННОЙ почты
В отличие от атак десинхронизации, атаки наблюдения достаточно трудно об­наружить. Если есть возможность просматривать трафик внешнего интерфейса маршрутизатора, то следует воспользоваться ею. Записи о трафике можно хра­нить в системном журнале регистрации. О том, как это сделать, рассказывается в главе 12. При помощи этих записей можно (и нужно) проверить трафик паке­тов, у которых адреса отправителя и получателя расположены в одном и том же (вашем) домене. Не нужно просматривать пакеты, оба адреса которых являются внешними (по отношению к вашей сети) адресами Internet. Если же найдутся пакеты, оба адреса которых пересекают ваш маршрутизатор, то, скорее всего, вы обнаружили атаку наблюдения.
ИСПОЛЬЗОВАНИЕ и
Для просмотра пакетов в Unix-системах вам могут пригодить-■ ся два бесплатных инструментальных средства: tcpdumpn netlog. Пакет tcpdump можно загрузить при помощи анонимного FTP из ресурса ftp. ее. lbl.gov; он расположен в файле /tcpdump.tar.Z. (Контрольная сумма MD5 этого пакета (5) равняет- . ся 4D8975B18CAD40851F382DDFC9BD638F.) После установки пакета вве­дите следующие команды (с их помощью можно обнаружить все пакеты, оба адреса которых расположены в сети
tcpdump src net <Enter> # tcpdump dst net domain.name <Enter>
Кроме того, можно загрузить пакет (разработанный    Техасском уни-
верситете) при помощи анонимного FTP из ресурса coast.cs.purdue.edu; он расположен в сум­ма MD5 этого пакета равняется 1DD62E7E96192456E8C75047C38E994B.) После установки пакета активизируйте netlog при помощи следующей команды:
tcplogger -b  |  extract -О -е 'srcnet=X.Y.О.О && dstnet-X.Y.О.О {print}' <Enter>
Команда tcplogger указывает программе netlog искать пакеты, у которых адрес назначения и адрес отправителя лежат в одной сети.
КАК   ПРЕДОТВРАТИТЬ   АТАКУ ПОДМЕНЫ
Как уже говорилось, оба адреса подмененного пакета очень часто являются вне­шними по отношению к вашей сети адресами. (Несмотря на это, подмененный пакет может содержать IP-адрес надежного хоста, расположенного вне сети.) Наилучшим способом защиты от атак подмены является фильтрация приходя­щих на маршрутизатор пакетов. Таким образом можно заблокировать внешние пакеты, адреса которых указывают на принадлежность отправителя вашему до­мену. Далее приводится список наиболее известных маршрутизаторов, поддер­живающих средство фильтрации пакетов (его еще называют входным фильтром):
• Bay Networks/Weitjlee все версии, начиная с 5;
• Cabletron с LAN Secure;
• Cisco, RIS software, все версии начиная с 9.21;
• Livingston.
Если аппаратное обеспечение вашего маршрутизатора не поддерживает фильтра­цию пакетов, то можно поставить второй маршрутизатор со средствами фильтра­ции; он должен располагаться между первым маршрутизатором и соединением Internet. При помощи выходного фильтра этого маршрутизатора можно будет отбрасывать подмененные IP-пакеты.
ПОДРОБНОСТИ ОБ АТАКЕ ПЕРЕХВАТА ПАКЕТОВ
Некоторые хакеры используют инструментальное средство под названием от­ветвитесь (tap), с помощью которого можно захватить управление над текущи­ми сеансами системы. Таким образом, злоумышленник, получивший полный доступ к системе (другими словами, права администратора системы), обладает полным контролем над любым текущим сеансом. Например, он может вводить команды от имени владельца сеанса. Если пользователь работал с системой Telnet или использовал команду rlogin для входа в другую систему, то захватчик может получить доступ и к этой системе. При этом ему не нужно будет проходить сис­темы идентификации — ведь они уже пройдены владельцем сеанса. В настоя­щее время ответвитель может использоваться только на машинах с операцион­ной системой SunOS или некоторыми ее вариантами.
ДЕТЕКТИРОВАНИЕ АТАКИ ПЕРЕХВАТА ПАКЕТОВ
Владелец захваченного сеанса (жертва хакера) должен заметить необычную ак­тивность, включая введенные хакером команды и потенциальную возможность потери соединения. Расскажите пользователям об опасности атак перехвата и попросите их уведомлять вас о каждом странном поведении машины.
ЗАЩИТА от АТАКИ ПЕРЕХВАТА ПАКЕТОВ
Прежде всего предотвратите возможность захвата полного доступа к системе. Для этого привлеките все средства: администраторов, установку дополнитель­ных средств защиты и элементов управления сетью (например, брандмауэры). Современные программы-ответвители используют реализованное в SunOS сред­ство поддержки загружаемых модулей, благодаря которому программа может динамически изменять текущую операцию ядра Unix. Работающая в госдепарта­менте энергетики США группа CIAC (Computer Incident Advisory Capability) порекомендовала владельцам сайтов, не нуждающихся в средстве поддержки за­гружаемых модулей, отключить его.
ПОДМЕНА ГИПЕРССЫЛОК: АТАКА НА SSL-СЕРВЕРЫ
В предыдущих разделах рассказывалось только об атаках на коммуникации, ре­ализованные на основе протоколов TCP или Telnet. Сейчас же я расскажу об атаках подмены гиперссылок, а в следующем разделе вы познакомитесь с атакой подмены Web (Web-spoofing). Обе эти атаки построены на использовании HTTP. Хакеры могут монтировать их поверх протокола идентификации сервера SSL (8). (Напомню, что этот протокол используется для создания безопас­ных броузеров и серверов, вроде Netscape Navigator и Internet Explorer.) Следуя описанным далее шагам, «вклинившийся» хакер может заставить броузер подклю­читься к вымышленному серверу; при этом броузер будет продолжать показывать, что идет безопасный сеанс. «Вклинившийся» хакер — это хакер, добившийся того, чтобы его машина стала передаточным звеном между клиентом и сервером. После этого злоумышленник может заставить клиента предоставить «мнимому» серверу информацию — например, номер кредитной карточки, PIN (Personal Identification Number), номер страхового полиса или любую другую личную инфор­мацию. Еще одна опасность подмены гиперссылок состоит в том, что пользователь (например, клиент банка или базы данных) может загрузить из вымышленного
сервера и запустить на своей машине хакерский апплет Java. При этом он будет уверен, что эта программа пришла с настоящего сервера и не может нанести ему вред. В этом разделе рассказывается о некоторых деталях подобной атаки и методах защиты от нее.
Обратите внимание: атака подмены гиперссылок построена на том, как броузе­ры работают с цифровыми подписями. Эта атака не действует на низкоуровне­вое шифрование или работу протокола SSL. Как следствие, атака может приме­няться на других приложениях, безопасность которых основана на сертифика­тах — все зависит от методов использования сертификатов.
Internet Explorer Netscape Navigator 3.0 и Netscape Navigator 4.0 — все эти броузеры могут подвергнуться атаке подмены гиперссылок. Похоже, что этой атаки не избежать и другим броузерам, а также и стандартным серверам-посред­никам SSL. Однако атака подмены гиперссылок не оказывает никакого влияния на такие методы защиты, как создание подписей программ и создание подписей апплетов (несмотря на то, что в них также используются цифровые сертификаты).
Хакер может выдать себя-за любой SSL-сервер при помощи обычных соглашений о сертификатах или упомянутых ранее броузеров. Более того, сертификаты сер­веров, вроде тех, что выдаются VeriSign или Thawte, также могут подвергнуться атаке подмены гиперссылок, если пользователь использует Internet Explorer или Netscape Navigator. Модификация программного обеспечения сервера может на­много уменьшить опасность атаки. Однако наилучшим долгосрочным решением является модификация содержания сертификата и Web-броузера. Как уже упо­миналось, эта атака не действует на сертификаты клиентов или сертификаты,
используемые сервером для создания цифровых подписей программ (вроде эле­ментов управления ActiveX и апплетов Java).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика