Часть 1. Хроники виртуального мира

Хакинг

Допустим, вы - обычный человек, использующий компьютер на работе и дома для решения тех задач, для которых он, собственно, и предназначен его создателями. В том числе, вы любите путешествовать по Интернету, а также переписываться со своими друзьями и знакомыми по электронной почте. И вот, в один прекрасный день к вам приходит письмецо примерно такого содержания (пример взят из журнала «Хакер»).

Уважаемый пользователь!!!

К сожалению, на Вашем счету был обнаружен факт двойного доступа к нашему серверу, т.е. в одно и то же время, используя Ваш аккаунт, в систему вошли 2 (два) пользователя. Вследствие чего возникла необходимость в смене Вашего текущего пароля доступа к нашей сети.

Вам необходимо ответить на это письмо, используя следующий формат:

log: ваш логин

ор: ваш старый пароль

пр1: ваш новый пароль

пр2: ваш новый

пароль em: ваш e-mail

Эти сведения должны находиться в начале Вашего сообщения. Обратите внимание на то, что новый пароль должен быть повторен дважды! Это необходимо для точной идентификации Вашего аккаунта. Рекомендуется прислать свои сведения до 13.06.1999, т.к. по истечении этого срока возможно отключение Вашего аккаунта.

Желаем Вам успехов!!!

С уважением, администрация сервера http://www.super-internet-provider.ru

Ваши дальнейшие действия определят ваш статус в том увлекательном и многообразном мире, который называется уже примелькавшимися терминами «кибер-пространство» или «виртуальное пространство». Если вы аккуратно заполните указанные позиции и отошлете письмо обратно, то вы - «ламер», или, того хуже, «лох», которого «напарили» проворные ребята, называющие себя «хакерами», «хацкерами», и даже «кул хацкерами». После этого знаменательного события вам, скорее всего, придется смириться с потерей некоей суммы денег, которую вы заплатили своему провайдеру Интернета за возможность подсоединяться к серверу Интернета и рассматривать на экране компьютера всякие разные Web-странички с интересными картинками.

Однако вас можно и поздравить с боевым крещением - вы впервые столкнулись с тем, что называется «хакингом». Пусть вы и проиграли первую схватку - ничего, за одного битого двух небитых дают. У вас все еще впереди, и если вы не сломитесь от первой неудачи, то, быть может, еще выйдете победителем в сражении, которое непрерывно ведется на просторах киберпространства почти с самого момента его возникновения.

Это сражение ведется за обладание информацией - некой неощутимой и невесомой субстанцией, продуктом технического и научного прогресса человеческой цивилизации, возникшем еще на самой заре ее возникновения. В этой великой битве за информационные ресурсы во все времена и народы принимало и принимает участие две стороны - обладатель информации, и, скажем так, «претендент» на ее обладание. И чего только не было придумано за многие века, чтобы получить доступ к информации и одновременно, защитить информацию от посягательств разного рода охотников за чужими секретами! Эта борьба велась не на жизнь, а на смерть, с использованием любых способов и приемов, и ценой победы подчас становились судьбы целых народов.

И вот были изобретены компьютеры, вначале громоздкие и маломощные, потом все более миниатюрные и высокопроизводительные. Последний шаг был сделан совсем недавно буквально у всех на глазах - за считанные годы, начиная примерно с 80-х годов прошедшего века, на столе у многих людей по всему земному шару появились персональные компьютеры, и, что еще интереснее, появилась всемирная компьютерная сеть - Интернет, связывающая эти компьютеры воедино.

И вот тут то все и началось.

Суть произошедших перемен заключается в том, что ныне вся деятельность, посвященная подготовке и хранению информации, или уже переместилась, или активно перемещается на компьютеры. Люди постарше помнят заваленные бумагами канцелярии и всякие разные конторы, заставленные письменными столами, за которыми сидело множество людей, строчивших бумаги. Далее эти бумаги печатались на машинках (ну и шум там стоял!), подшивались в папки и ложились на полки шкафов и стеллажей на радость тараканам и мышам.

А теперь посмотрим на современный офис - вместо счетов и ручных калькуляторов (да-да, именно так это и было!) ныне на рабочих столах с современным дизайном стоят персональные компьютеры, и множество сидящих за компьютерами людей признаются, что уже просто отвыкли от использования ручек и карандашей.

На этих компьютерах делается все то, что называется обработкой информации, под которой подразумевается практически все - от подготовки документации на суперсекретный прибор до составления расписания на пригородную электричку,' от хранения банковских счетов до составления бухгалтерских отчетов. А для передачи всей этой, подчас, совершенно секретной, информации используются компьютерные сети, пришедшие на замену дискетам, жестким дискам и прочим носителям данных, активно применяемых на первых этапах всеобщей компьютеризации. Таким образом, вся та информация, которая ранее пересылалась в бумажных конвертах по почте, теперь передается в виде электрических сигналов по проводам компьютерной сети, или пучков света по оптоволоконным кабелям, или электромагнитного излучения в беспроводной сети, ну и так далее - сетевые технологи не стоят на месте.

Итогом всех этих революционных преобразований стал тот неоспоримый факт, что все сражения великой битвы за информационные ресурсы были немедленно перенесены на виртуальные просторы киберпространства. Теперь вместо обшаривания пыльных шкафов в поисках нужной бумаги с чертежами секретного прибора или финансового отчета компании, эти самые «претенденты» на обладание засекреченной информацией занялись взломом систем защиты компьютерных систем. Вместо набора отмычек, фонарика и веревочной лестницы, используемых для проникновения в канцелярские помещения, заставленные неуклюжими шкафами и сейфами, современные взломщики, сидя за компьютерами, пытаются подсоединиться к секретной базе данных на сервере корпоративной сети, находясь от нее на расстоянии в тысячи километров. Вместо установки жучков в телефоны руководства корпорации они, сидя в подвале, подсоединяются к проводам локальной сети организации и перехватывают всю передаваемую по сети информацию, надеясь получить файл с секретными данными или пароли доступа к закрытому сетевому ресурсу. Технические средства изменились, но суть осталась прежней - как и в реальном мире, в киберпространстве зедется отчаянная борьба за обладание информацией, причем не на жизнь, а на :мерть, с применением любых методов и приемов.

Однако информационная революция конца 20-го века привнесла в эту схватку и 1ечто новое - хакинг.

Если раньше великая битва за информацию, в том числе с применением компьютеров, велась профессионалами, преследующими какие угодно, но, в любом случае, рациональные цели - например, шпионаж - то массовое вторжение в нашу жизнь компьютеров вовлекло в это сражение целую ораву самой разношерстной публики, которая, не имея никакого понятия о булевой алгебре и принципах работы сумматора центрального процессора ЭВМ (все, все - больше не буду) получила доступ к весьма мощному и эффективному вычислительному устройству, работа с которым ранее считалась уделом яйцеголдвых интеллектуалов: Именно в этой среде возникли первые хакеры и зародилось такое интересное направление компьютерной деятельности, как хакинг - получение доступа к закрытой информации с целями, которые можно назвать до некоторой степени иррациональными.

Действительно, почитайте выпуски журнала «Хакер», и вы удивитесь многообразию вариантов использования компьютеров новоявленными бойцами информационных сражений. Вот пример «приложения» сил некоторых из участников великой компьютерной битвы (пример из журнала «Хакер»).

Часть «советов» была отброшена, как устаревшая. Надеюсь, также, что вы догадались, что ламер - это нечто вроде «слабака», личности жалкой и убогой, недостойной работы на компьютере, кулер - это вентилятор, HARD DISK или хард - это жесткий диск, прога - это программа, проц - процессор, а мамка -это материнская плата. Самым интересным словом в этом «опусе» является Маздай, что является исковерканной фразой на английском языке «Must die», в вольном переводе означающей «Чтоб он сдох». В хакерской терминологии Маздаем называется операционная система Windows, которая как раз и должна умереть, по мнению автора этих «советов».

Слово Маздай для нас интересно в том смысле, что оно хорошо иллюстрирует направленность мыслей личностей, занимающихся такого рода проделками. В самом деле, зачем Windows должна умереть? Ну, запортилась операционная система или сломался жесткий диск, тебе-то что с того? Можно только предположить, что в новейшую историю на великую битву за информационные ресурсы были рекрутированы, в том числе, личности весьма специфического склада, которые в былые годы морально удовлетворялись стрельбой из рогатки по прохожим или истязаниями кошек в подвале.

И в самом деле, кто же занимается такими шалостями? Вот портрет одного из столпов этой новой волны в молодежной культуре 21 века (журнал «Хакер»).

Имя: Доктор Добрянский

Особые приметы:

Впечатляет, не правда ли? Однако возникает вопрос - а при чем здесь всемирная война за обладание ценной информации, всякие хлопоты по поиску информации, взлому систем защиты компьютерных систем и прочие не такие уж и простые вещи? Неужели хакинг состоит в заклеивании «кулера» скотчем и в прочих увлекательных проделках, про которые можно почитать во многих выпусках журнала «Хакер»?

А при том, что все это - не более чем миф.

Прежде чем сделать выводы относительно феномена хакинга, следует обратиться к серьезным исследованиям по этой теме, проводимой, как следовало ожидать, разными правительственными спецструктурами, озабоченными... ну и так далее. И вот, исследовав ту часть населения США, которая устойчиво посвящает себя всякого рода штучкам в киберпространстве, ФБР (надеюсь, вы знаете, что это такое) составило среднестатистический портрет хакера. Оказалось, что:

• Средний хакер - это молодой человек, возраста примерно от 16 до 19 лет.

• Большая часть (до 80%) этих молодых людей относятся к той части человеческих типов, которых называют английским словом «nerd». Это словечко имеет два значения: 1) тормоз, зануда; 2) человек со всепоглощающим стремлением к учебе и научной деятельности. (Интересно, не правда ли? Все это как-то не вяжется с обликом доктора Добрянского).

• Средний хакер досконально знает операционные системы Windows и Unix, глубоко освоил стеки протоколов TCP/IP и программирование на нескольких языках, например, C++, Perl, Basic.

Никак не претендуя на полноту и окончательность выводов, попытаемся подытожить все эти исследования следующим образом. Возникший совсем недавно виртуальный мир - это все еще плохо освоенная территория, что-то вроде дикого запада Америки 19-го века. И каждому путешественнику по киберпро-странству, особенно по молодости, хочется попробовать свои силы на просторах этой дикой прерии, вторгаясь на территории, занятые чужими племенами и поселениями. Если на входе в эту территорию стоит шлагбаум с табличкой «Проход закрыт», то люди, перешагнувшие через шлагбаум, становятся на тернистый путь хакера. Особое место занимают люди, перешагивающие через шлагбаумы по роду службы, но они-то, как раз, хакерами себя и не называют.

Все зависит от вашего отношения к шлагбаумам, к людям, которые их устанавливают, а также с какой стороны шлагбаума вы живете. В зависимости от этого обитатели виртуального мира разделились на две категории - на хакеров и всех прочих, назовем их, для симметрии, «антихакерами». Вы сами должны определиться, с кем вам по пути. Чтобы помочь вам определиться, в книге сделана попытка простого и доступного описания основных приемов и методов, к которым прибегают обе стороны - как хакеры, так и антихакеры - при выяснении отношений.

Стоит сделать некоторые уточнения. Под хакерами мы будем впредь понимать профессионалов, способных проникать сквозь все заграждения, которые устанавливаются на подступах к заветному информационному ресурсу, а эти заграждения - весьма серьезная вещь. Антихакерами же мы будем называть профессионалов, способных противостоять этим попыткам хакерского проникновения к закрытому информационному ресурсу. И борьба между хакерами и антихакерами ведется ни на жизнь, а на смерть, с применением любых средств и тактических приемов.

Taктикa Виртуальных сражений

Какой же тактики должны придерживаться эти две стороны, чтобы победить в ведущейся уже который год Всемирной Виртуальной Войне? Поскольку кибер-пространство - это не более чем слепок нашего реального мира, то тактику виртуальных сражений мы, очевидно, должны заимствовать из опыта реальных сражений. А в привычном, физическом мире, подвергнувшись нападению, или напав сами, вы либо побеждаете, либо побеждают вас, со всеми вытекающими последствиями. Третьего не дано. И с незапамятных времен людям известно, что для победы в реальном, т.е. не в спортивном или игровом, поединке, требуется умение как нападать, так и обороняться, причем используя любые приемы и средства, адекватные степени угрозы и цели сражения. Это - аксиома.

Поэтому и хакеры, и антихакеры, в принципе должны владеть средствами противоположной стороны - и, как показывает некоторое знакомство с историей эволюции хакерских группировок, очень часто и хакеры, и антихакеры переходят из одного лагеря в другой и обратно. Причина в том, что в этом мире все не так просто, и нет ничего надежнее защиты, устоявшей под ударом настоящего Хакера, и кто как не настоящий антихакер знает слабости средств защиты информационной системы?

При этом также мы должны помнить о наличии «докторов Добрянских» и прочих иже с ним «хацкеров», имея в виду, что эти персонажи - реальные обитатели виртуального мира, в котором пребываем мы все, и нет никаких оснований надеяться, что эти личности в скором времени исчезнут. Так что мы обсудим приемы «работы» и таких обитателей киберпространства - не путая, однако, божий дар с яичницей. Как правило, методы всех этих «кул хацкеров» достаточно примитивны и рассчитаны на элементарное ротозейство, однако, как говорится, на то и щука в реке, чтобы карась не дремал. В конце концов, никто же в реальном мире не путает настоящих охотников за дичью, способных по нескольку суток сидеть в засаде и неутомимо преследовать свою добычу, с любителями стрельбы по только что опорожненным бутылкам -а как вы думаете, каких охотников большинство?

В этой главе мы обсудим общие вопросы и методы хакинга, которые будут обсуждаться на протяжении всей книги, а в следующей главе посмотрим, что может противопоставить этой деятельности антихакер.

Итак, вы уже, наверное, поняли, что обитатели виртуального мира занимаются всем тем, что и жители реального, физически ощутимого, мира. И если в реальном мире человек склонен к противоправным действиям, то включив компьютер и перейдя в виртуальную реальность, он, скорее всего, не оставит своих привычек и там. Так что целью людей, пытающихся вторгнуться на чужую территорию будет, очевидно, все то же - кража, вандализм, террор, шантаж, промышленный и прочий шпионаж. Проиллюстрируем сказанное живыми примерами, взятыми из Интернета и некоторых литературных источников.

Кража финансов

Сюжет, в котором группа удалых ребят, включив компьютер и постучав полчаса по клавишам, снимает с чужих финансовых счетов немеренное количество денег, перечисляя их на свои никому не доступные счета в заморских банках, уже набил оскомину. В общем-то, для этого им требуются «сущие пустяки» - подсоединиться через Интернет к серверу компьютерной сети какого-то финансового учреждения, и, пользуясь таинственными и всемогущими хакерскими программами, получить доступ к счетам клиентов. Технически это, безусловно, возможно, однако, как показывает статистика [2], наибольшее число таких преступлений выполняется самими сотрудниками организаций, имеющими, в силу служебного положения, права доступа к закрытой информации, или же получившими эти права доступа с помощью разного рода хакерских приемов.

Очень распространенный способ добычи денег в Интернете - это организация фальсифицированных Интернет-магазинов. Как будет показано в Главе 8, технически создание такого магазина - не такое уж и сложное дело. Посетители, чтобы купить товар в Интернет-магазине, должны на специальной Web-страничке ввести номер своей кредитной карточки, которая далее передается на сервер Интернета, обслуживающий работу платежной системы. В подлинном Интернет-магазине этот номер используется для выполнения через Интернет финансовой транзакции. Фальсифицированный же Интернет-магазин пересылает номер карточки специальной хакерской программе на сервере Интернета. Эта программа сохраняет украденные номера кредитных карточек вместе со всеми платежными реквизитами и передает их хакеру. Далее хакер может применить эти сведения для перечисления денег со счетов покупателей на собственный счет.

Например, в книге "Обнаружение атак" Лукацкого А.В. описан случай применения платежной системы WebMoney (http://www.webmoney.ru) для реализации финансовых средств со счетов, доступ к которым был получен хищением номеров кредитных карточек путем организации фальсифицированного Интернет-магазина, принимающего платежную единицу WebMoney. Как знать, может быть большое число таких случаев и привело к тому, что WebMoney более не принимает платежи по кредитным карточкам?

На сайте SecurityLab.ru в статье от 23 января 2002 «Более четверти баз данных американских банков пострадали в прошлом году от хакеров и вирусов» указана некоторая статистика по обсуждаемой теме, полученная агентством Evans Data. Согласно проведенному среди 750 разработчиков баз данных опросу, проблемы с защитой данных испытывали около 12% компаний США и Канады, причем для банковского сектора этот показатель достиг рекордной отметки в 27%, т.е. более четверти! Причиной такого серьезного положения следует, безусловно, считать привлекательность финансовых баз данных для хакеров, поскольку они предоставляют доступ к счетам клиентов банков.

Вообще, методов хищения финансовых средств и платных ресурсов Интернета -превеликое множество, причем немаловажное место занимает элементарное мошенничество, наподобие рассылки писем с разнообразными мошенническими предложениями, созданием сайтов с разнообразными услугами, которые никто не собирается оказывать, и так далее. По мере раскрытия механизмов хакинга мы будем постоянно обращаться к теме финансовых краж, поскольку это занятие - весьма популярный способ поиска пропитания для очень многих странноватых персонажей виртуального мира.

Вандализм

В данном случае под вандализмом понимается не такое простое дело, как «заклеивание кулера скотчем», а нечто более серьезное. Под вандализмом подразумевается, например, распространение вирусов, т.е. программ, специально созданных для внедрения в компьютерные системы с целью последующего размножения и выполнения определенных, в том числе самых разрушительных действий. Для противодействия такого рода деяниям даже создана статья уголовного кодекса РФ, предусматривающая, в том числе, наказание в виде лишения свободы.

Все, кто имеет хоть какое-то отношение к компьютерам, очень часто слышат о появлении каких-то новых вирусов со странноватыми названиями ILOVYOU, КАК, червь Морриса, и почти все пользователи Интернета получали в свои почтовые ящики письма с вирусными вложениями. Не все эти вирусы уничтожают компьютерную систему и, тем самым, подпадают под определение вандализма, часть этих вирусов - просто безобидные программки. Например, есть вирусы, играющие музыку в конце рабочего дня (стародавний вирус Yankee Doodle). Однако все вирусы, как минимум, мешают функционированию системы и не могут приветствоваться пользователями зараженных компьютеров.

Но дело не ограничивается только вирусами. Вандализм - это очень широкое понятие, и под него можно подвести многие штучки, вытворяемые в киберпро-странстве разного рода персонажами, руководствующимися самыми разнообразными мотивами своих действий в виртуальном мире. Например, что вы скажете о 19 способах навредить своему сетевому другу, приведенных в журнале «Хакер» N3 от 2000 г.? Вот способ N5:

Ты, наверное, видел много новых сайтов, похожих на газету «Из рук в голову» :). Ну так вот, обязательно кинь в подобные конфы сообщение от имени жертвы, в котором напиши, что есть все, что только нужно, по любым ценам и в любом количестве. Припиши, что будет пожизненная гарантия и подарки в нагрузку, оплата в рассрочку и можно мелкими купюрами :). Короче, пофантазируй, и ящик жертвы будет завален безо всякой рассылки. Тут, правда, можно пойти и дальше. И раскидать подобные сообщения по поводу покупки чего бы то ни было, только, наоборот, цены поднимать и соглашаться с любыми условиями :).

Неплохо, не правда ли? Итог такого «деяния» - гарантированная потеря почтового адреса, компрометация деятельности в Интернете, а то и неприятности с провайдером Интернета у жертвы атаки. И это еще самое безобидное, в запасе у такого рода личностей есть кое-что и покруче.

Вот, например, общение в ICQ-чатах. Казалось бы, что может быть приятнее и безобиднее? Однако в Главе 11 мы показываем, как и что могут сделать с доверчивым собеседником «кул хацкеры», используя инструменты атаки клиентов ICQ, а также и безо всяких инструментов. Например, они могут прислать доверчивому собеседнику файл якобы самораспаковывающегося архива с «фотографией собачки». При запуске полученного исполняемого файла, присланного «хацкером», вместо распаковки архива выполняется форматирование жесткого диска доверчивого собеседника.

А атаки DoS (Denial of Services - Отказ в обслуживании), описанные в уроке 13? Эти атаки - сущее проклятие всех администраторов Web-серверов, поскольку они способны вывести из строя даже такие мощные системы, как сервер Yahoo (http://www.yahoo.com), который не так давно в одночасье был атакован хакерами со всех сторон земного шара, и был недоступен посетителям несколько часов.

А саботаж сотрудников, недовольных условиями работы в фирме, которые оставляют после своего увольнения вирусы-логические бомбы, сокрушающие всю компьютерную систему в заданное время (скажем, при появлении первой платежной ведомости, в которой отсутствует фамилия уволенного сотрудника)?

Так что не без основания можно считать вандализм одним из самых распространенных деяний, вытворяемых в киберпространстве «кул хацкерами», и не только ими. По сугубо личному мнению автора, в таких действиях в наибольшей степени проявляется весь иррационализм современного виртуального мира - в самом деле, какая польза лично вам от того, что у кого-то пропала информация на жестком диске, или завис компьютер, или Web-сервер стал недоступен? И ради этого столько хлопот!

Террор и шантаж

Три буквы «р» слове «террор» уже сами по себе как-то угнетающе действуют на психику. В этом и состоит суть методов террора - запугивание жертвы с целью

шантажа, направленного, скажем, на выкуп секретов, компрометирующих компанию. Эти методы стары как мир, только раньше люди, которые занимались такой деятельностью, использовали обычную почту (на английском языке «шантаж» так и называется «blackmail» - черная почта). Теперь стали применять электронную почту. Охо-хо-хо... Кстати, в 19-ти способах навредить сетевому другу (см. выше) шантаж стоит под номером 19.

Сильные мира сего также не гарантированы от подобных штучек. В книге "Обнаружение атак" Лукацкого А.В. описана попытка шантажа агентства Bloomberg LP жителем Казахстана, который взломал компьютерную сеть агентства, а потом потребовал 200 000 долларов США за раскрытие местонахождения дыры в системе сетевой защиты. Результат - судебное преследование, арест и так далее. И этот случай - отнюдь не единичный, и далеко не всегда все так плохо кончается (плохо для хакера, разумеется). В той же книге Лукацкого А.В., к примеру, отмечается рост числа случаев, когда сотрудники, уволенные из фирмы, начинали преследовать ее угрозами с требованием денег, угрожая предать огласке секреты, похищенные в компьютерной сети организации.

Вот пример из ленты новостей сайта SecurityLab.ru (http://www.securitylab.ru). В статье от 21 ноября 2002 г. «Хакер взял в заложники секреты фирмы» описан случай шантажа американской фирмы 28-летним хакером по имени Эдуард Голицын. Выбрав в качестве жертвы компьютеры одной американской компании, хакер обошел все уровни защиты, добрался до важной засекреченной коммерческой информации, блокировал ее, а затем стал угрожать владельцам уничтожением информации, если они не переведут на его счет 4 000 долларов США. На момент написания этих строк итоги таковы: с хакера взята подписка о невыезде, деньги изъяты...

Компьютерный террор может принимать и глобальные масштабы. На упомянутом сайте SecurityLab.ru содержится ряд статей об объявлении исламистами кибервойны всему миру! Так что кибертерроризм - это ставшая явью глобальная угроза всему кибернетическому сообществу.

Промышленный шпионаж

На фоне всех описанных выше случаев промышленный шпионаж кажется чуть ли не благородным занятием. И в самом деле, ну похитил, допустим, российский хакер секреты технологии самолетов-невидимок Стеле (Stealth) у фирмы Lockheed Martin (см. [2]), так ведь не убил, не отнял последнее, а просто сумел проникнуть в суперкомпьютер фирмы и взять, что плохо лежало. В конце концов, фирма Lockheed могла бы и потратиться на систему защиты и не выкладывать незашифрованные файлы с секретной информацией на подключенный к Интернету компьютер.

Другой пример, содержащийся в ленте новостей сайта SecurityLab.ru, - кража секретов агентства космических исследований НАСА. В статье «Хакер похитил секретные документы НАСА» от 13 августа 2002 описана кража с закрытого сайта НАСА 43 Мб данных! Ответственность за кражу взял на себя некий Rafa, в прошлом лидер хакерской группировки World of Hell (Адский мир). Среди похищенных документов были технические характеристики двигателя и других систем космического челнока, весьма интересные для конкурентов фирмы во всем мире.

Интересно, а каково общее положение дел в этой сфере? Посмотрим свежие сообщения на эту тему в новостях сайта SecurityLab.ru. Вот например, статья «Хакеры и пираты украли у американских корпораций $59 млрд» от 7 октября 2002 г. В ней приведены интересные данные опроса компаний США из списка Fortune 1000, в частности, о финансовых потерях вследствие нарушений компьютерной безопасности. В статье указывается, что компьютерная кража одной технической разработки обходится в среднем в 404 тыс. долларов США, а финансовых данных - в 356 тыс. долларов США. Наибольшей популярностью (49%) у хакеров пользуются данные об исследованиях и разработках, далее (36%) идут реквизиты и номера кредитных карточек клиентов, на третьем месте (27%) - бухгалтерия компаний. Общие потери от всех этих деяний указаны в заголовке статьи - это просто невообразимая сумма в 59 млрд. долларов!

Подведем итоги

На этом же сайте SecurityLab.ru можно найти и другие любопытные данные по статистике компьютерных взломов, подытоживающие наше обсуждение целей хакинга. Например, статистика, проанализированная компанией Symantec, показывает, что число сетевых атак с каждым годом увеличивается на 64%, и за первую половину 2002 г. каждую неделю регистрировалось 32 взлома. Общая тенденция к бурному росту несомненна. В сообщениях прессы и Интернета (хотя бы на сайте SecurityLab.ru) отмечен интерес разного рода компаний к информации, хранящейся на серверах корпоративных сетей конкурентов, и взлому доступа к этой информации уделяется все большее внимание.

Так что, вывод один - в виртуальном мире идет самая настоящая война, участники которой пытаются любыми средствами проникнуть в чужие компьютерные системы, причем, как правило, с самыми враждебными намерениями. Учтите при этом, что ныне объявлена эпоха «глобализации экономики», суть которой -стирание межгосударственных границ и перенос всей деловой активности в виртуальное пространство Интернета. Такая всеобщая компьютеризация вынуждает компании позаботиться о своей безопасности и защите своих секретов - в конце концов, знание состояния дел своих соперников дает большую фору, и никто не собирается уступать место под солнцем своим конкурентам. В этой связи обнадеживает промелькнувшее в Интернете сообщение, что в 2004 г. компании США утраивают финансирование систем защиты компьютерной информации. Что из этого получится? Поживем - увидим, ведь и хакеры тоже не дремлют.

За чем же охотятся хакеры, где хранится то, ради чего они прилагают такие усилия? В реальном мире все сколько-нибудь ценные вещи хранятся в защищенных хранилищах, например, в сейфах. Реальные злоумышленники добираются до лакомых ресурсов (к примеру, мешков с долларами) через дыры в системе охраны. В киберпространстве ценными ресурсами является исключительно информация - это файлы баз данных и документов, пароли доступа к финансовым и прочим ресурсам, а также данные, передаваемые по сети. Чтобы добраться до этой информации, хакеры атакуют различные аппаратные и программные компоненты компьютерной системы, обеспечивающие работу с источниками информации.

Эти компоненты могут варьироваться и дополнять друг друга - к текстовому файлу, например, можно добраться как с помощью проводника Windows, так и приложения MS Word, или же содержимое этого файла можно извлечь из сетевого кабеля во время его пересылки на сетевой сервер. Так что у хакеров есть множество вариантов действий на выбор, и, в зависимости от ситуации, хакер может попытаться получить доступ к лакомой информации самыми различными путями. Для большего удобства описания этих хакерских возможностей мы будем использовать предложенное в [2] разделение всей структуры компьютерной информационной системы на различные уровни следующих типов.

• Уровень прикладных программ — атака приложений для работы с документами и базами данных, типа предоставляемых MS Office или Oracle. Что представляют собой системы защиты баз данных, можно судить, например, по сообщению от И февраля 2002 на ленте новостей сайта SecurityLab.ru с названием «База данных Oracle 9i реально оказалась довольно уязвимой, несмотря на недавние заявления руководства Oracle о ее полной непробиваемости». Суть заметки - в наличии дыр в программах защиты, позволяющих хакеру получить доступ к серверу базы данных Oracle даже без информации о паролях и именах пользователей. Некоторые инструменты хакинга документов MS Word и архивных файлов мы приводим в Главе б этой книги.

• Уровень операционной системы, обслуживающей работу информационной системы. Система защиты операционных систем Windows 2000/XP - это весьма серьезная вещь, что бы там не говорили. Мы обсудим ее в Главе 4, а в Главе 14 увидим, какие возможности имеются у хакеров для несанкционированного проникновения в компьютеры Windows 2000/XP.

• Уровень сети - доступ через сетевые соединения и линии связи. На ленте новостей SecurityLab.ru от 21 ноября 2002 мы можем прочитать интересное сообщение «Серьезная утечка внутренней информации из Microsoft», где описан взлом базы данных на FTP-сервере Интернета корпорация Microsoft, содержащейся в архивном ZIP-файле. По сообщению агентства Wired News, среди «секретных материалов» имелась база данных о нескольких миллионах пользователей программного обеспечения Microsoft. Архив был защищен паролем, однако его длина составляла всего четыре символа! Причина этого, как полагают многие эксперты, в недостатках правил безопасности, действующих внутри Microsoft - в Microsoft! Сетевые возможности хакинга поистине неисчерпаемы, и мы описываем их практически на протяжении всей книги.

Говоря образно, чтобы добраться до нужной информации, хакер действует как и обычный налетчик - он должен взломать входную дверь в дом (т.е. зарегистрироваться в операционной системе), найти сейф с мешком денег (т.е. отыскать файл или базу данных с нужной информацией), после чего взломать этот сейф и забрать мешок с деньгами (т.е. взломать доступ к файлу и скопировать информацию). Везде на пути хакера стоит система защиты, и чтобы получить доступ к компонентам компьютерной системы, хакер действует аналогично обычным злоумышленникам - он ищет уязвимости системы защиты, т.е. лазейки в заборе вокруг закрытой территории, открытые форточки, плохо укрепленные двери, слабые замки на сейфах и так далее. В детективных романах, посвященных преступлениям в реальном мире, все это описано достаточно подробно, однако что же это такое - уязвимости, когда речь идет о защите информационных ресурсов?

УЯЗВИМОСТЬ информационной системы - это любой недостаток системы защиты, который может быть использован для достижения хакером своей цели. Эти уязвимости - предмет очень пристального внимания обоих сторон схватки Хакер -Антихакер. А поскольку это сражение ведется уже давно, то в компьютерном мире накоплен значительный опыт в части выявления уязвимостей и их классификации. Классификация полезна тем, что позволят легко отслеживать все изменения на фронте борьбы за информационные ресурсы, причем с любыми целями - как для организации обороны, так и нападения.

По сути, в виртуальном мире уязвимости защиты - это те же плохо укрепленные двери физического мира; например, двери с плохо настроенными электронными замками - это аналог плохо сконструированной системы входной регистрации. Человеку свойственно ошибаться, и по мере развития и усложнения компьютерных систем растет число ошибок и недочетов в системах защиты. Чтобы облегчить поиск и устранение найденных уязвимостей, многие организации стали создавать специальные базы данных, предоставляя их для всеобщего ознакомления.

Одной из наиболее известных баз уязвимостей является база CVE (Common Vulnerabilities and Exposures - Распространенные уязвимости и риски) корпорации MITRE. На сайте MITRE- (http://www.mitre.org) можно познакомиться со списком известных уязвимостей, которым корпорация присваивает специальный идентификатор и помещает в базу данных, которую каждый посетитель может бесплатно загрузить для ознакомления, а также выполнить поиск в текущей базе данных прямо со странички Web-сайта. Вот пример записи в базе данных CVE.

Имеются и другие, не менее интересные базы уязвимостей. Например, корпорация Internet Security Systems (ISS) на своем сайте (http://www.iss.net) поддерживает базу данных уязвимостей и эксполойтов - т.е. программ, реализующих атаки на основе определенных уязвимостей. На Web-сайте корпорации содержится большое число хорошо структурированных информационных ресурсов (правда, на английском языке), содержащих сведения по всем известным на текущий момент уязвимостям операционных систем многих типов - FreeBSD, Solaris, Windows 2000/XP и других. Очень информативен и удобен для работы уже упоминавшийся русскоязычный сайт SecurityLab.ru, который содержит обширную, оперативно обновляемую базу данных уязвимостей и эксплойтов (вместе с лентой новостей, фиксирующей, в том числе результаты неумелого использования этих уязвимостей).

Таким образом, вы уже, наверное, поняли, как хорошо живется хакерам в современном мире - просматривай базу уязвимостей, находи себе жертву и с помощью уже кем-то созданных эксплойтов, атакуй свою жертву и решай свои задачи! И в самом деле, как все просто! Просто садись, да начинай становиться миллионером! Однако лента новостей фиксирует совсем другое - оказывается, ха-кинг - не такое простое дело, да к тому же, вовсе не безопасное. Чтобы в этом убедиться, давайте посмотрим, что должен сделать хакер для проникновения в чужую компьютерную систему с настроенной системой защиты, да еще за тридевять земель от любителя чужих секретов.

Итак, хакеру требуется получить доступ к желанному компьютерному ресурсу, т.е. пробраться на чужую, хорошо огороженную территорию. Следует сразу отметить, что реальные хакерские атаки отличаются от описанной выше заманчивой картинки настолько, насколько реальные боевые столкновения отличаются от их голливудских интерпретаций. Все дело в том, что нынче потенциальные жертвы тоже не сидят без дела, и готовы разобраться с нежеланными гостями по полной программе, так что хакерам приходится прилагать множество усилий и проявлять большую изворотливость, чтобы решить свои задачи.

В полном соответствии с методами взломщиков, орудующих в реальном мире, которые тщательно планируют нападение на банки и прочие места, где водятся денежки, настоящие хакеры также разрабатывают сценарии вторжения и готовят инструменты для доступа к лакомым ресурсам. Эти сценарии могут быть самыми различными, но все они выполняются в три этапа, полностью соответствующие действиям взломщиков в реальном мире: сбор информации - вторжение -заметание следов.

Сбор информации

С помощью различных источников хакеры ищут информацию, необходимую для проникновения на чужую территорию. Например, они могут использовать Интернет, обратившись к сайту организации, в сеть которой они хотят вторгнуться, или рекламные буклеты этой организации, в которых можно найти номера телефонов корпорации, имена сотрудников и адреса их электронной почты и так далее [3]. Далее хакеры выполняют сканирование сети организации для выявления ее структуры, инвентаризации общих ресурсов, используемых операционных систем, запущенных программ и систем защиты. Для этого существуют целые наборы программных инструментов, работу с которыми мы будем описывать на протяжении всей книги. А предварительно, в Главе 3 приводится общее описание всех средств, которые используют хакеры для сбора информации о своей потенциальной жертве.

Вторжение

Собрав нужную информацию, в состав которой входит структура атакуемой информационной системы, адреса серверов локальной сети организации, используемые операционные системы и средства защиты, хакер приступает к вторжению. Излюбленный средствами массовой информации и Голливудом сюжет опусов на тему хакинга - взлом через Интернет компьютерной системы на другом конце земного шара - это отнюдь не единственный метод доступа к закрытой информации, хотя и самый эффектный и привлекательный для зрителя. Если хакер - это настоящий, решительно настроенный охотник за закрытой информацией, для достижения цели он использует тот метод, который наиболее эффективен для решения задачи. Все зависит от обстоятельств, и если у хакера есть возможность физического доступа к компьютеру, он им воспользуется, поскольку наиболее мощные средства взлома системы защиты предполагают локальный доступ к компьютерной системе.

Ниже приведена классификация методов вторжения по способам доступа хакера к атакуемому компьютеру, поскольку от этого в значительной степени зависят возможности хакера по применению инструментов взлома защиты.

• Локальное вторжение.

Этот метод состоит во взломе компьютерной системы с управляющей консоли компьютера. Наиболее доступен такой метод для служащих самой организации,, которые имеют доступ к компьютерной системе, знают местонахождение информационных ресурсов и способны производить с системой различные манипуляции скрытно от окружающих. Типичный пример описан в разделе «Кража финансов» выше, где сотрудник финансовой организации имел привилегии, достаточные для хакерской модификации компьютерной системы. Кстати, это очень симптоматично - именно системные администраторы, имея самый высокий уровень привилегий, часто становятся источником проблем для системы безопасности [2]. Однако и простые смертные имеют определенные шансы на успех в этой области, особенно учитывая хаос, царящий во многих корпоративных сетях. Допустим, вы ушли на перекур, бросив компьютер на произвол судьбы (согласитесь, очень распространенное нарушение политики безопасности), а после вашего возвращения оказывается, что жесткий диск отформатирован, или на компьютере запущена программа клавиатурного шпиона. Это - типичный пример локального вторжения, когда хакеру удалось получить физический доступ к компьютеру. Во второй части этой книги мы подробно описываем множество инструментов и приемов, которые может применить хакер для вторжения в компьютер при наличии локального доступа.

• Вторжение из Интернета.

Вторжения из Интернета грозят всем, кто когда-либо подсоединялся к серверу Интернета и работал с различными Интернет-сервисами, например, электронной почтой, серверами новостей и Web-ресурсов. При наличии дыр в системе защиты хакеры в состоянии подсоединяться к компьютеру пользователя и, в зависимости от полученных привилегий, решать самые разнообразные задачи, вплоть до установления полного контроля над компьютером жертвы. Причем в последнее время, в связи с распространением (по крайней мере, на Западе) домашних компьютеров, постоянно подсоединенных к Интернету, эти компьютеры стали активно использоваться хакерами для выполнения наиболее опасных атак DDoS (Distributed Denial of Services - Распределенный отказ от обслуживания). Мы опишем атаки DoS подробнее в Главе 13 этой книги.

Другой тип атак через Интернет - рассылка вирусов. Допустим, к вам приходит письмо с вложением, предлагающее вам обновить свой Web-браузер. Вы щелкаете на ссылке, и ваша компьютерная система на ваших глазах умирает (или становится рабом какого-нибудь «кул хацкера», обеспечивая его паролями для халявного доступа к серверу провайдера Интернета или другому платному ресурсу Web). Имеются и более изощренные атаки, когда для размещения на компьютере хакерской программы не требуется даже и щелчка мышью - используя некоторые недостатки почтового клиента, можно составить такое электронное письмо, что прикрепленное к нему вложение автоматически перекочует в папку автозагрузки компьютера и исполнится при следующем перезапуске. А как составляются такие письма и осуществляются некоторые другие атаки на почтовые сервисы, описано в Главах 9 и 10 этой книги.

С вами может случиться и такое - в один прекрасный день вы обращаетесь к своему Web-сайту, и вместо знакомого содержимого обнаруживаете там «изделие» какого-то «Web-мастера» с компрометирующим вас содержимым. Значит, кому-то удалась атака на Web-сервер - подробности о таких атаках можно узнать в Главе 12. Рассылка вирусов, социальная инженерия и прочие шалости - список может быть пополнен, и на фоне их упомянутые в разделе «Вандализм» 19 способов навредить своему сетевому другу - это просто мелкие шалости. Подробнее все эти вопросы описаны в частях 3 и 4 этой книги.

Наиболее сложным и квалифицированным вторжением в компьютерную систему через Интернет следует считать удаленный взлом системы защиты корпоративной сети, подсоединенной к Интернету. Решение такой задачи требует тщательной подготовки и изучения атакуемой системы, и в Главе 14 этой книги мы опишем некоторые технологии удаленного взлома сети TCP/IP компьютеров Windows 2000/XP.

• Вторжение из локальной сети.

Допустим, у себя на работе вы используете локальную сеть организации для общения со своим сетевым соседом. И вот однажды, при личной встрече с этим самым соседом, выясняется, что он абсолютно не в курсе недавно обсуждаемой темы. С кем же вы тогда общались в виртуальном пространстве и что успели выболтать? Это - пример сетевой атаки, когда хакер, путем некоторых ухищрений заставляет сетевые компьютеры общаться через посредника, в качестве которого он навязывает свой компьютер. Другой пример - перехват данных, выполняемый через нелегальное подключение к сетевому кабелю. Эти атаки настолько популярны, что для них придумано даже свое название - сниффинг, от английского слова sniffing - вынюхивание. Для сниф-финга создано множество инструментов и технологий, наиболее популярные из которых описаны в Главе 17 этой книги, а в целом вопросы хакинга сетей TCP/IP описаны в части 5 этой книги.

• Вторжение через модем

Ныне, по крайней мере, на Западе, стало модным устанавливать (как правило, нелегально) модем в свой офисный компьютер для обеспечения к нему удаленного доступа со своего домашнего компьютера. Более того, кое-какие умники даже упрощают задачу хакера, одновременно с модемом устанавливая на компьютер программу для удаленного управления, да еще и без всякой настройки системы защиты! Все это напоминает открытие крепостных ворот и опускание моста через крепостной ров прямо перед носом атакующего противника - ведь такое подключение в обход общесетевой системы защиты, как правило, нарушает все правила политики безопасности организации. Не удивительно, что через некоторое время в локальной сети офиса заводится, скажем, вирус, который заражает все компьютеры сети, или программа клавиатурного шпиона, которая докладывает своему хозяину о всех действиях на компьютере, вплоть до нажатия на отдельные клавиши. Все вышеописанное -пример вторжения через удаленное соединение.

Поиск и использование таких соединений - это целая отрасль хакинга, поскольку они предоставляют хакеру много возможностей и перспектив [3]. В старых организациях, как правило, существует множество некорректно настроенных внутренних АТС с забытыми телефонными линиями, подсоединенными через модем к установленным где попало сетевым компьютерам. Эти подключения либо вообще не защищены от несанкционированного доступа, либо защищены недостаточно [3]. Поэтому все такие линии связи -просто пожива для хакера, поскольку предоставляют ему прекрасный способ вторжения в сеть через модем с помощью специального программного обеспечении для прозвона телефонных номеров и автоматического подбора паролей удаленного входа в атакуемую систему.

В Главе 18 описана наиболее высокоразвитая на текущий момент программа-сканер телефонных линий PhoneSweep. В отличие от многих имеющихся программ-сканеров телефонных номеров, PhoneSweep работает в системах Windows 2000/XP, снабжена графическим интерфейсом и мощной экспертной системой идентификации и взлома удаленных систем. Все это ставит ее вне всякой конкуренции по сравнению с популярными программами Login Hacker, TCH-Scan или ToneLock. Одно из применений PhoneSweep - аудит телефонных линий связи организаций с целью проверки их защищенности.

Вообще, программные средства хакинга удаленных соединений весьма популярны среди хакеров - очень многие «кул хацкеры» пытаются подключиться к серверам провайдеров Интернета именно с помощью программ прозвона телефонных номеров и подбора паролей входной регистрации. Что из этого получается, можно узнать на ленте новостей сайта SecurityLab.ru - сплошным потоком идут сообщения, как одного «кул хац-кера» тут забрали, другого здесь посадили, и так далее. Печально все это.... Все эти горе-«хацкеры» забывают, что существуют такие вещи, как автоопределители телефонных номеров (АОН), и их попытки несанкционированных телефонных подключений выдают их с головой. И тем не менее, как следует из некоторых источников в Интернете, до 50% попыток вторжений в чужие сети, включая банковские (!!!), выполняются через телефонные линии, причем с домашних компьютеров!!! Что тут сказать... Становится очевидным важность следующей задачи хакинга - сокрытие следов.

Cokpыmue следов

Каждый злоумышленник'перед тем, как покинуть место преступления, заметает следы, уничтожая отпечатки пальцев и другие следы, которые могут помочь его идентификации. Так же и хакер должен уничтожить все следы своего вторжения, по которым его могут найти. Никогда не следует забывать, что в любой мало-мальски защищенной системе функционируют средства аудита, регистрирующие все подозрительные действия пользователя. Другая задача заметания следов -сокрытие файлов, помещенных хакером в систему, и процессов, запущенных для слежения за работой легитимных пользователей.

Для очистки следов пребывания существует множество методов, включающих очистку журналов аудита, сокрытие запущенных программ и процессов помещением их в ядро операционной системы (т.е. той ее части, которая невидима для пользовательского интерфейса). Скажем, взамен подлинных процедур ядра операционной системы, хакер может запустить подмененные процедуры, которые будут оповещать его обо всех введенных пользователями паролях входной регистрации, и выполнять другие действия, например, пересылку хакеру раскрытых паролей по Интернету. Такие задачи выполняются с помощью целых комплектов программ, которые в просторечии называются наборами отмычек, или, на сленге, «руткитами» (от английского слова rootkit - корневой комплект инструментов). «Руткиты» - весьма популярное средство хакинга систем UNIX, но и Windows 2000 не обойдена вниманием, и в Главе 7, посвященной целиком вопросам сокрытия следов хакинга, мы еще обсудим эту тему, хотя, надо сказать, настоящий «руткит» для Windows, по видимому, еще на стадии создания.

Другой аспект задачи сокрытия следов связан с Интернетом. При попытках хакинга через Интернет хакер должен скрыть свой IP-адрес, который очень легко фиксируется системами обнаружения вторжений и далее позволяет выловить хакера прямо на рабочем месте. И тут мы сталкиваемся с совпадением задач хакинга и антихакинга - задача сохранения своей конфиденциальности актуальна для обеих сторон. Для решения таких задач существует множество методов, самый лучший из которых - отказ от использования для хакинга компьютеров, способных выдать ваше местонахождение, подключение через прокси-серверы, использование специальных программ - брандмауэров, ограничивающих передачу конфиденциальной информации от компьютера пользователя Интернета на сервер.

Мы можем сделать такие выводы. Ныне становится все более очевидным, что в виртуальном киберпространстве ведутся самые настоящие войны, причем на всех фронтах и во всех регионах земного шара. Основу тактики виртуальных сражений составляет террор - нападающая сторона стремится скрытно выявить слабые стороны противника, исподтишка нанести удар, имея целью нанести максимальный урон, после чего скрыться. Поэтому всем жертвам хакинга не остается никакого выбора - методам террора следует противопоставить методы антитеррора, предполагающие заимствование хакерских приемов и методов в целях защиты. Попробуем изложить эту концепцию более связно - читайте следующую главу.