На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Наборы средств для взлома

Полный контроль — это когда хакер на другой стороне планеты управляет выводом электрических сигналов с конкретного вывода последовательного порта (задачей высшего пилотажа можно назвать управление выходными данными гнезда наушников на приводе компакт-диска).
Это может казаться нереальным, но не забывайте, что все аппаратные средства находятся под управлением того или иного программного обеспечения. Часто это программное обеспечение встроено в микросхемы и в ядро операционной системы. После взлома операционной системы физические элементы компьютера, который находится под управлением этой системы, как правило, оказываются в полной вла­сти хакера. Тщательно подготовленные вредоносные программы могут предоставить доступ к аппаратным средствам компьютера и управлять ими. Эти программы работают на самом низком уровне, т.е. обнаружить их невозможно, кроме того случая, когда в системе используется специализированное программное обеспечение.
Итак, в этой главе рассматривается набор средств для взлома (rootkit). Средства для взлома представляют собой особый вид программного обеспечения, который позволяет управлять каждым аспектом работы компьютера. Набор средств для взлома можно запустить на локальной машине или же удаленно "заразить" компьютер с помощью вируса. И действительно, у вирусов, "червей" и наборов средств для взлома есть много общего. Как правило, это весьма небольшой по размеру программный код, в котором "сконцентрировано" много важных возможностей. Эти программы стараются действовать незаметно. Часто в них даже применяются одинаковые методы для достижения искомой цели, наподобие перехватов вызовов функций и установки заплат. Поскольку "черви" относятся к категории переносимого кода, то в них часто применяется полезная нагрузка для "заражения" компьютера при доставке кода "червя" на определенный компьютер. "Червь" обычно "заражает" цель атаки и записывает на компьютере код, по сути превращаясь в набор средств для взлома.

Вредоносные программы
Вопрос о нанесении ущерба с помощью программного обеспечения считается уже достаточно давним (разумеется, по меркам программного обеспечения). Существует немало материалов военных ведомств по этой теме, которые были собраны более двадцати лет назад. Под нанесением ущерба здесь понимается взлом одной программы с помощью другой программы. Так, в самом старом отчете описываются "потайные ходы", размещаемые в программном обеспечении самими создателями этих программ. "Потайные ходы" стали добавлять в программы еще тогда, когда компьютеры состояли из набора вакуумных трубок.
Один опытный программист рассказал нам следующую историю:
"Когда-то для Западного побережья США была создана система противовоздушной обороны, в которой была заложена скрытая программа. В системе использовались вакуумные трубки, а световые перья составляли часть пользовательского интерфейса. После выполнения правильной последовательности команд на экране монитора появлялось изображение танцующей гавайской девушки. При "выстреле" световым пером в нужном месте девушка сбрасывала свою одежду. Полковник, который однажды посетил с инспекцией дежурную часть, случайно обнаружил эту "функциональную возможность" системы защиты к глубокому огорчению команды программистов.
Что такое набор средств для взлома
Набор средств для взлома представляет собой программу, которая обепечивает доступ (и позволяет выполнять определенные манипуляции) к низкоуровневым функциональным возможностям атакуемой системы. Тщательно продуманные наборы средств для взлома работают таким образом, что их очень трудно обнаружить, используя другие программы, с помощью которых обычно осуществляется мониторинг системы. Доступ к набору средств для взлома обычно предоставляется только осведомленным людям, которые знают о возможности использования тех или иных команд для управления набором средств для взлома.
Первые наборы средств для взлома представляли собой "троянские" файлы, в которые были встроены "потайные ходы". Эти наборы средств для взлома предназначались для подмены часто используемых исполняемых файлов, например программ psnnetstat. Поскольку при этом методе изменялся размер и содержимое атакуемого исполняемого файла, то оригинальные наборы средств для взлома можно было обнаружить достаточно просто, воспользовавшись программами мониторинга целостности файлов, например программой Tripwire. Современные наборы средств для взлома создаются намного искуснее.
Что такое набор средств для взлома на уровне ядра
В настоящее время широкое распространение получили средства для взлома на уровне ядра (kernel rootkit). С их помощью устанавливаются подключаемые модули или драйверы устройств, что обеспечивает доступ к компьютеру на аппаратном уровне. Поскольку для этих программ устанавливаются права наивысшего доверия, то они могут быть полностью скрыты от другого программного обеспечения, запущенного на

компьютере1. Наборы средств для взлома на уровне ядра позволяют скрывать файлы и запущенные процессы, что способствует созданию "потайного хода".
Набор средств для взлома на уровне ядра и область надежного кода
При установке вредоносного кода в систему хакер часто получает права доступа, равнозначные правам доступа для драйвера устройства или программы системного уровня. В операционных системах наподобие Windows и UNIX это уровень неограниченного доступа, т.е. все элементы атакуемой системы могут быть взломаны, а значит, надежным источникам данных аудита доверять больше нельзя. Кроме того, это означает, что программный код управления доступом больше не в состоянии действительно управлять доступом. Чтобы продемонстрировать глубину рассматриваемых проблем, вспомним о заплате для ядра Windows NT, которую мы изучали в главе 3, "Восстановление исходного кода и структуры программы". В этом простом примере заплаты продемонстрированы изменения, вносимые в целях искажения памяти на атакуемой системе. А теперь представьте пакет сложных методов, которые сфокусированы на маскировке вредоносных действий. Это и есть набор средств для взлома.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика