Хакинг средств удаленного управления

Средства удаленного управления компьютерами ныне приобрели большую популярность. Постепенно, шаг за шагом, из инструмента удаленного администрирования, применяемого в сугубо технологических целях, программные средства этого типа стали использоваться сотрудниками различных организаций для работы со своим офисным компьютером не выходя из дома, с домашнего компьютера. Современные программы удаленного управления офисным компьютером предоставляют целый набор средств для подключения - прямого, модемного и сетевого. Все это очень интересно и предоставляет большие удобства для сотрудников организаций, однако и хакерам также открывается поле чудес для достижения своих целей.

Все дело в том, что инсталлируя средства удаленного управления, многие не задумываются о возможности его несанкционированного использования. В самом деле, вот одно типичное «обоснование» безопасности, такого доступа к компьютеру: «Я о нем никому не рассказываю, и о нем никто не знает». Эти люди почему-то считают, что если исподтишка установить на свой офисный компьютер модем и подключить его к телефонной линии для последующих сеансов связи с домашнего компьютера, то хакер просто не сможет обнаружить этой зияющей дыры в системе защиты компьютерной сети организации.

Все эти рассуждения не выдерживают никакой критики. Мы уже говорили, что настоящий хакер всегда начинает атаку с исследования объекта нападения. Одна из задач такого исследования как раз и заключается в выявлении телефонов организации и их тестирования на наличие модемного соединения. Выявив такую линию, хакер с помощью специальных программ и собственных познаний в этой области идентифицирует средства удаленного управления на той стороне линии связи и приступает к их взлому.

В этой главе описаны способы взлома компьютера с установленными средствами удаленного управления в виде приложения pcAnywhere 10.5. Далее мы обсудим вопросы хакинга компьютерной сети, основанные на уязвимостях протокола SNMP (Simple Network Management Protocol - Простой протокол сетевого управления), используемого для удаленного администрирования сетей Windows. Некоторые уязвимости протокола SNMP и его реализации в системах Windows позволяют выполнять инвентаризацию компьютерной системы, и мы опишем программные средства, применяемые с этой целью - утилиты пакета SOLARWINDS (http://www.solarwinds.net).

Приложение pcAnywhere (http://www.symantec.com/pcanywhere) корпорации Symantec представляет собой один из лучших инструментов удаленного управления хостами сети TCP/IP. Перед тем, как мы перейдем к описанию уязвимостей и методам хакинга pcAnywhere, кратко опишем его структуру и некоторые принципы работы.

Функциональность pcAnywhere

Приложение pcAnywhere устанавливается на компьютерах, связанных локальной сетью, модемной линией связи или напрямую, через последовательные и параллельные порты. Компьютеры, управляемые средствами pcAnywhere, называются хостами, а управляющие компьютеры называются абонентами. Взаимодействие хостов и абонентов pcAnywhere происходит подобно тому, как телевизор управляется с помощью пульта дистанционного управления - после установления связи на экране удаленного компьютера отображаются те же средства пользовательского интерфейса и диалоги программ, что и на мониторе хоста. При этом действия пользователя в диалоге абонента pcAnywhere немедленно копируются на экране хоста pcAnywhere.

Таким образом, пользователь компьютера-абонента pcAnywhere получает в свое распоряжение консоль удаленного управления хостом pcAnywhere, практически совпадающую с локальной консолью хоста.

Для управления работой своих хостов и абонентов программа pcAnywhere предоставляет диспетчер, рабочее окно которого, pcAnywhere Manager (Диспетчер pcAnywhere), представлено на Рис. 1.

Чтобы сделать компьютер хостом pcAnywhere, выполните такие шаги.

• Щелкните мышью на кнопке Hosts (Хосты) и откройте окно управления хостами (см. Рис. 1).

• Дважды щелкните на кнопке Add Host (Добавить хост). На экране появится диалог pcAnywhere Host Properties: New Host (Свойства хоста pcAnywhere: новый хост), представленный на Рис. 2.

На вкладке Connection info (Сведения о соединении) в списке Device list (Список устройств) перечислены устройства удаленного доступа, обеспечивающие подключение к хосту. По умолчанию в нем установлен флажок TCP/IP, ответственный за связь через локальную сеть TCP/IP.

• Оставьте флажок TCP/IP установленным или установите свои устройства для подключения.

• Щелкните мышью на ярлычке Callers (Абоненты). На экране отобразится вкладка, представленная на Рис. 3.

На вкладке Callers (Абоненты) следует указать удаленные компьютеры, которые могут связываться с хостом pcAnywhere, и задать способ их аутентификации.

• В открывающемся списке Authentication type (Способ аутентификации) выберите способ аутентификации; в данном случае оставьте стандартный выбор pcAnywhere.

• В список Caller list (Список абонентов) добавьте удаленные компьютеры, которые требуется сделать абонентами создаваемого хоста. Для этого щелкните на кнопке New 'item (Новый пункт), которая находится в панели инструментов над списком. Отобразится диалог pcAnywhere Caller Properties: New Caller (Свойства абонента pcAnywhere: новый абонент), представленный на Рис. 5.

Первая вкладка диалога предназначена для задания логина и пароля создаваемого абонента pcAnywhere, которые следует ввести, соответственно, в поля Login Name (Имя пользователя), Password (Пароль) и Confirm Password (Подтвердить пароль).

На остальных вкладках диалога pcAnywhere Caller Properties: New Caller (Свойства абонента pcAnywhere: новый абонент) содержатся различные параметры, разрешающие обратные звонки абоненту (вкладка Callback), права доступа абонента (вкладка Privileges) и парольную защиту учетной записи нового абонента (вкладка Protect item).

• Настройте в диалоге pcAnywhere Caller Properties: New Caller (Свойства абонента pcAnywhere: новый абонент) параметры должным образом, и щелкните на кнопке ОК. В диалоге свойств абонента в списке Caller list (Список абонентов) появится пункт с новым абонентом (Рис. 5).

Можете повторить процедуру добавления абонентов несколько раз и пополнить список абонентов.

• Настройте, если нужно, параметры хоста на остальных вкладках диалога свойств создаваемого хоста (Рис. 5).

• Щелкните мышью на кнопке ОК и закройте диалог pcAnywhere Caller Properties: New Caller (Свойства абонента pcAnywhere: новый абонент). В диалоге диспетчера pcAnywhere отобразится значок нового хоста (Рис. 6).

• Чтобы запустить хост pcAnywhere, щелкните на значке хоста правой кнопкой мыши и выберите в отобразившемся контекстном меню команду Launch Host (Запустить хост). После запуска хоста в панели задач отобразится значок компьютера - хост готов к работе.

Теперь займемся абонентом pcAnywhere. Чтобы удаленный компьютер получил возможность управления хостом pcAnywhere, на нем следует установить приложение pcAnywhere, запустить диспетчер pcAnywhere и выполнить такие шаги.

• В окне диспетчера pcAnywhere щелкните на кнопке Remotes (Абоненты). На экране появится окно pcAnywhere Manager (Диспетчер pcAnywhere), представленный на (Рис. 7).

В этом окне содержится значок Add Remote (Добавить абонента), позволяющий создать и настроить абонент для хоста. Однако можно воспользоваться уже имеющимся абонентом.

• Чтобы воспользоваться уже имеющимся абонентом, дважды щелкните мышью на значке NETWORK, CABLE, DSL (Сеть, Кабель, DSL). На экране появится диалог pcAnywhere Waiting (Режим ожидания pcAnywhere), представленный на Рис. 8.

В диалоге pcAnywhere Waiting (Режим ожидания pcAnywhere) отображаются все хосты pcAnywhere, ждущие подключения абонентов pcAnywhere. Как видно из списка TCP/IP Hosts (Хосты TCP/IP), только что созданный хост Sword-2000 также ожидает подключения.

• Выполните двойной щелчок на строке SWORD-2000. На экране появится диалог NETWORK, CABLE, DSL - pcAnywhere (Сеть, кабель, DSL -pcAnywhere), представленный на Рис. 9.

В диалоге pcAnywhere Host Login (Входная регистрация хоста pcAnywhere) следует ввести логин и пароль, указанный при создании абонента Alex-З для хоста Sword-2000, и щелкнуть на кнопке ОК. После успешной регистрации отобразится диалог, подобный представленному на Рис. 1.

Подключившийся абонент pcAnywhere позволит сделать с компьютером Sword-2000 все, что разрешено на вкладке Privileges (Привилегии) диалога свойств абонента Alex-З (см. Рис. 10).

Если на вкладке Privileges (Привилегии) установить переключатель Superuser (Суперпользователь), то абонент Alex-З получит полный доступ ко всем ресурсам компьютера Sword-2000. Стало быть, вся проблема для хакера - это определить комбинацию логин/пароль, которая позволит ему подключаться к хосту pcAnywhere. Посмотрим, что для этого следует сделать.

Хакинг pcAnywhere

Во-первых, следует сразу же указать, что версия 10.5.1 приложения pcAnywhere не позволяет хакеру вытворять очень многое из того, что было доступно в ранних версиях. Здесь уже не работает программа Revelation для определения паролей за строкой "***********" поле задания пароля диалога pcAnywhere Host Login (Входная регистрация хоста pcAnywhere). Также, диспетчер pcAnywhere уже не позволяет пополнять список абонентов хоста без указания логина и пароля входной регистрации, и новому абоненту при создании предоставляются по умолчанию ограниченные привилегии (Рис. 11). Так что, на первый взгляд, все, что можно предложить для взлома доступа к хосту pcAnywhere - это попробовать угадать логин и пароль, часто совпадающие с логином и паролем входной регистрации.

Как ни странно, но эта задача вовсе не выглядит безнадежной, и попытки угадать пару логин/пароль, варьируя комбинации Administrator/password, имеют шансы на успех. Можно также прибегнуть к программе Brutus, с помощью которой мы взламывали почтовые ящики и Web-сайты. Эта программа позволяет настраивать свои средства взлома паролей, так что, быть может, вам и удастся автоматизировать процесс подбора паролей. Однако все это - трудоемкий и ненадежный путь, поскольку хоть сколько-нибудь квалифицированный пользователь наверняка установит надежный пароль для регистрации, а система защиты зафиксирует многочисленные попытки входной регистрации.

Так что же, сдаваться? Не тут то было. Имеется еще один обходной путь, который остался и новейшей версии pcAnywhere - подмена профиля подключения абонента к хосту. В этом случае хакер методами, указанными в предыдущем разделе, создает хост pcAnywhere, имя которого совпадает с тем, что отображается в диалоге ожидания соединения (Рис. 9). Далее он создает абонента для подключения к этому хосту, в качестве которого он назначает самого себя. Этому абоненту хакер предоставляет неограниченные права доступа к хосту, устанавливая переключатель Superuser (Суперпользователь) на вкладке Privileges (Привилегии) диалога свойств абонента (Рис. 11).

Вот для чего он все это делает. Дело в том, что после создания хоста pcAnywhere в папке Системный_диск:/Documents and Settings/All Users.WINNT/Application Data/Symantec/pcAnywhere (или в другой папке, указанной в открывающемся списке диалога диспетчера pcAnywhere), создается файл профиля абонента этого хоста с предсказуемым именем. В нашем случае для хоста Sword-2000 после создания абонента pcAnywhere с логином Alex-З был создан файл профиля с именем PCA.Alex-3.CIF - т.е. с именем, содержащим логин абонента в середине записи, и с расширением .CIF.

Вы, наверное, уже смекнули, как все это можно применить для хакинга хоста pcAnywhere. Хакер создает с помощью диспетчера pcAnywhere нового абонента, скажем, Hacker, профиль которого будет сохранен в файле PCA.Hacker.CIF на компьютере хакера. Если этот файл PCA.Hacker.CIF каким-то образом поместить на хост Sword-2000 в папку Системный_диск:/Documents and Settings/All Users.WINNT/Application Data/Symantec/ pcAnywhere, то в диалоге абонентов хоста Sword-2000 появится новая учетная запись (см. Рис. 11).

Теперь к хосту pcAnywhere может подключиться любой, кто знает логин и пароль нового абонента Hacker, в данном случае - хакер, немного поработавший для создания и переноса файла профиля на компьютер-жертву.

А как можно переписать файл на атакуемый компьютер? Путей очень много, и один из них указан в предыдущей главе - атакой на протокол NetBIOS, или в Главе 9 - подготовив и отправив письмо с активным вложением, которое загрузит на жертвенный хост файл, скажем, с использованием клиента TFTP. Можно также прибегнуть к методам социальной инженерии и заставить ламера щелкнуть на ссылке для загрузки бесплатной чудо-программы (это наилучший метод для людей со специфическими наклонностями). Если хост pcAnywhere функционирует как Web-сервер, есть смысл атаковать сервер IIS, как это описано в Главе 12 - и если это программа IIS 5, не обработанная сервисными пакетами, то шансы на успех почти стопроцентные. Совсем уж примитивный вариант атаки таков - улучив момент, сесть за консоль компьютера, хозяин которого ушел на перекур, и незаметно для окружающих записать ему на диск файл профиля абонента pcAnywhere - и дело сделано.

А как можно удаленно определить, установлен ли на компьютере хост pcAnywhere и работает ли он в данный момент? Для этого следует обратиться к средствам инвентаризации ресурсов локальной сети, которые должны выявить на компьютере открытые порты удаленного управления. Однако в сетях Windows имеется и еще одна возможность - использование средств инвентаризации, встроенных в системы Windows NT/2000/XP, которые опираются на протокол SNMP (Simple Network Management Protocol -Простой протокол сетевого управления).

Протокол SNMP предназначен для удаленного администрирования хостов локальной сети. Для хакеров протокол SNMP обеспечивает большие возможности по инвентаризации сети, не воспользоваться которыми - просто грех, и на уязвимостях SNMP основаны многие хакерские атаки. Поэтому разработано множество программ управления сетями с опорой на протокол SNMP, из которых выделим пакет SOLARWINDS (http://www.solarwinds.net). Все эти утилиты - двойного применения; системные администраторы используют их для администрирования сети, а хакеры - для проникновения в сеть и овладения ее ресурсами. Так что перейдем к знакомству с пакетом SOLARWINDS с учетом задач хакинга и антихакинга - каждому, как говорится, свое.

Дополнительная ценность протокола SNMP выявляется в том случае, когда поддержка протокола NetBIOS в сети TCP/IP будет отключена - компьютеры Windows 2000/XP предоставляют такую возможность. Тогда для инвентаризации ресурсов сети Windows NT/2000/XP хакер может прибегнуть к возможностям, предоставляемым протоколом SNMP, который обеспечивает не менее широкие возможности.

Протокол SNMP

Протокол SNMP представляет собой стандарт управления сетями TCP/IP (а также сетями IРХ). На основе протокола SNMP создаются программные средства удаленного управления сетевыми хостами - серверами, рабочими станциями и другими устройствами - позволяющие настраивать работу сетевых хостов, наблюдать за их работой, отслеживать сбои и текущую деятельность пользователей в сети.

Для работы вышеуказанных программных средств SNMP используются системы управления SNMP (или консоли SNMP) и агенты SNMP, т.е. елужбы SNMP, собирающие информацию об узлах, и помещающие ее в базы данных MIB (Management Information Base - База управляющей информации). База MIB содержит таблицу запущенных служб, сведения о способе разграничения доступа, перечень сеансов и учетных записей пользователей, набор общих ресурсов сервера и другую, весьма обширную, информацию. Для просмотра базы MIB применяются системы управления SNMP, например, утилита snmputil из пакета W2RK или же специальное программное обеспечение, примером которого является приложению IP Network Browser, входящее в пакет SOLARWINDS'2002 Engineer's Edition (на узле http://www.solarwind.net предоставляется пробная 30-ти дневная версия).

Хосты, на которых функционируют консоли и агенты SNMP, объединяются в сообщества SNMP, идентифицируемые именами сообщества. Агенты SNMP каждого хоста сообщества могут передавать сообщения в ответ на запросы консолей SNMP только «своего» сообщества и тех сообществ, которые указаны в списке, создаваемом при конфигурировании службы SNMP. Для обмена информацией используется транспортный протокол UDP, поддержанный маршрутизацией по протоколу IP, а передача пакетов SNMP выполняется через сокеты Windows с портами 161 и 162.

Приложение SOLAR WINDS

Если хакеру удастся определить имя сообщества SNMP, инвентаризация сетевых ресурсов компьютеров сообщества не вызывает никаких проблем. Для решения этой задачи можно воспользоваться пакетом SOLARWINDS, включающем в себя самые разнообразные утилиты для сбора сведений о локальной сети.

На Рис. 13 представлен диалог браузера MIB из пакета SolarWinds 2001 Engineer's Edition, отображающий записи базы данных MIB компьютера А1ех-3, входящие в раздел сведений об учетных записях и общих ресурсах компьютера.

Данные, отображаемые браузером МIB, аналогичны извлеченным из базы SAM с помощью утилиты LC4. Таким образом, база MIB не менее информативна, чем база SAM, за тем только исключением, что в ней отсутствуют пароли учетных записей.

Имеется и другая утилита для просмотра ресурсов сетевых хостов, называемая IP Network Browser, которая представляет информацию в базе данных МIВ инвентаризуемой сети в более доступной форме (см. Рис. 12).

Вся проблема в использовании базы МIB для целей инвентаризации состоит в получении имени сообщества, которое по сути представляет собой пароль для доступа к информации в базе МIB. Эта задача вовсе не безнадежна, поскольку средства пакета SOLARWINDS 2001 Engineer's Edition включают утилиты SNMP Brute Force Attack и SNMP Dictionary Attack для взлома доступа к базе MIB подбором имени сообщества, выполняемого, соответственно, прямым перебором символов и путем словарной атаки. Успех такой атаки основан на следующем обстоятельстве.

Очень часто [3] для именования сообществ SNMP администраторы, входящие в категорию «ламеров», используют установленные по умолчанию имена public, или private, или их вариации. Опять-таки сошлемся на [3], где утверждается, что такая порочная практика носит массовый характер. Поэтому утилиты SNMP Brute Force Attack и SNMP Dictionary Attack для взлома доступа к сообществу SNMP как раз и учитывают такую особенность всех этих ламеров. Они позволяют хакеру вводить начальные имена сообщества SNMP типа public или private в стартовую строку поиска с автоматической генерацией вариантов испытуемых строк. Это позволяет быстро находить имена типа public1, public2 и тому подобные, основанные на стандартном имени public. Небольшое экспериментальное исследование указанных утилит взлома позволяет сделать вывод — шансы на успех инвентаризации сети взломом базы MIB достаточно высоки.

Покажем, как работает утилита SNMP Brute Force Attack, взломав имя сообщества SNMP нашей экспериментальной сети с помощью такой последовательности действий.

• Запустите утилиту SNMP Brute Force Attack. На экране отобразится окно SNMP Brute Force Attack (Атака взлома SNMP грубой силой) (Рис. 13).

• Щелкните на кнопке Settings (Параметры). На экране появится диалог SNMP Brute Force Attack References (Параметры взлома SNMP грубой силой), представленный на Рис. 14.

• В зависимости от своих предпочтений установите параметр Try community string up to 6 character long (Проверять строки имен сообщества длиной до б символов включительно).

Этот параметр очень важен, поскольку определяет объем поиска; при его установке не следует увлекаться, и всегда нужно помнить, что трудозатраты на взлом доступа к информации всегда должны соответствовать ценности информации. (Это основной принцип криптоанализа - а то ведь есть люди, которые готовы сутками долбить вход в чужой почтовый ящик, чтобы потом сделать с ним какую-то мелкую гадость. Интересно, кто оплачивает им время, проведенное в Интернете?) Учтите также, что в мире полным-полно компьютеров с именем сообщества SNMP, заданным по умолчанию - public, private и их производными - не перевелись еще ламеры!

• Так что установите, для начала, параметр Try community string up to 6 character long (Проверять строки имен сообщества длиной до 6 символов включительно) в 7 символов, сдвинув ползунок чуть вправо.

• Откройте вкладку Community string (Строка имени сообщества); ее содержимое представлено на Рис. 15.

• В поле Starting Community String (Начальная строка имени сообщества) введите publica - тогда поиск начнется с 7-ой буквы а в конце слова.

• Щелкните на кнопке ОК и заройте диалог настройки параметров атаки.

• В диалоге SNMP Brute Force Attack (Атака взлома SNMP грубой силой) щелкните на кнопке Attack (Атака).

• Наблюдайте за ходом поиска - на экран в строке Current Community String (Текущая строка поиска) будут последовательно выводиться тестируемые имена. В случае успеха отобразится сообщение.

Чтобы отразить такую атаку на протокол SNMP, следует закрыть доступ к портам 161 и 162, используемым агентами и консолью SNMP, прибегнув к средствам фильтрации TCP/IP, либо средствами аплета Службы (Services) компьютера Windows 2000/XP, чтобы отключить на хосте службу SNMP. В любом случае имя сообщества SNMP должно быть достаточно сложным для взлома методом грубой силы, поскольку имя сообщества служит фактически паролем доступа к агенту SNMP.

Установленные на сетевом хосте средства удаленного управления, как от независимого производителя (программа pcAnywhere), так и встроенные (служба SNMP) могут стать настоящими воротами для хакера, поскольку очень часто после инсталляции этих средств их система защиты не настраивается должным образом (если вообще настраивается). Это касается практически всех общераспространенных приложений удаленного управления, особенно ранних версий [3]. Хотя новейшая на момент написания этих строк программа pcAnywhere значительно более защищена от локальных и удаленных атак, направленных на извлечение паролей доступа к хостам, все-таки, как мы видели, у хакеров имеются достаточно надежные пути для преодоления преград.

Чтобы выявить компьютер с установленным приложением удаленного управления, можно воспользоваться средствами протокола SNMP, обеспечивающего работу агентов и консоли SNMP управления ресурсами компьютера. Браузер IP Network Browser, рассмотренный в этой главе, надежно идентифицирует открытые порты программы удаленного управления pcAnywhere, после чего хакер может воспользоваться различными средствами для удаленного взлома доступа к хосту pcAnywhere.

Не следует пренебрегать также возможностями SNMP для решения общей задачи инвентаризации атакуемых систем. Средства защиты агентов и консоли SNMP, встроенные в систему Windows, весьма примитивны и не обеспечивают должной безопасности для компьютеров сообщества SNMP. Для хакера это предоставляет обширные возможности по инвентаризации ресурсов сетевых хостов и последующих попыток взлома доступа к компьютерам.

Что касается антихакеров, то здесь, как везде и всюду, следует не забывать об основном правиле безопасности - пароли доступа к хостам pcAnywhere должны быть достаточно сложными, чтобы их нельзя было взломать простой словарной атакой или даже простым перебором. С другой стороны, описанную выше атаку на хост pcAnywhere можно предотвратить, просто ограничив доступ к папкам компьютера, хранящим настроечную информацию. Поэтому настройка системы защиты Windows - наилучший способ предотвращения атак на средства удаленного управления.