Моя визитка
Урок 1. Хакинг
Урок 2. Антихакинг
Урок 3. Инструменты хакинга
Урок 4. Защита Windows 2000/XP
Урок 5. Проникновение в систему
Урок 6. Реализация цели вторжения
Урок 7. Сокрытие следов
Урок 8. Хакинг браузеров Web
Урок 9. Хакинг почтовых клиентов
Урок 10. Деструкция почтового клиента
Урок 11. Хакинг Web-сайтов
Урок 12. Атаки DoS
Урок 13. Хакинг компьютеров Windows 2000/XP
Урок 14. Хакинг средств удаленного управления
Урок 15. Хакинг брандмауэров
Урок 16. Перехват сетевых данных
Урок 17. Хакинг коммутируемого доступа
Приложение А
Приложение В
Приложение С
Приложение D
Приложение E

Сокрытие следов

Два аспекта задачи сокрытия следов
Локальная безопасность
Глобальная безопасность
Прокси-серверы
Сокрытие следов атаки
Отключение аудита
Очистка журналов безопасности
Скрытие установленных файлов, программ и процессов
Сокрытие файлов
Скрытие процессов
"Руткиты"
Заключение

Сокрытие следов - важнейший этап работы хакера, поскольку, выявив признаки тесанкционированной деятельности хакера, антихакер сразу же предпримет меры защиты. Все это соответствует реальному миру, где преступники, приступя к «работе», надевают перчатки и маски, вешают фиктивные номера на автомобили, ну и так далее - все вы, наверное, хоть раз, да смотрели гангстерские фильмы. Действуя в виртуальном мире, всякие разные «кул хацкеры», если они хоть чего-то стоят, также должны предусмотреть, причем со всем тщанием, способы сокрытия следов своей деятельности.

Вообще говоря, тема сокрытия своей деятельности в виртуальном мире - весьма актуальна и многогранна. В Главе 1 уже приводился тот печальный факт, что около 50% всех попыток удаленного взлома компьютерных систем выполняется в домашних компьютеров, подключенных к серверам Интернета через телефонные линии - причем серверы Интернета, все как один, снабжены устройствами АОН.

Стоит ли тут удивляться многочисленным сообщениям о поимке «страшного преступника», который, запустив хакерскую программу автоподбора паролей плотной регистрации на сервере провайдера Интернета, считает себя полностью -неуязвимым. Причем такая уверенность основана на смехотворном, хотя и психологически понятном факторе,- ведь хакер сидит в своей квартире за закрытой дверью, где его «никто не видит», в то время как программа подбирает отмычки к входной двери чужого дома. Результаты такого «хакинга» иногда покаывают в телевизионных новостях, под рубрикой «криминальная хроника» что и неудивительно).

Так что автор настоятельно предлагает всем любителям обсуждаемого жанра самым внимательным образом почитать эту главу, прежде чем решиться на какие-либо действия (никак не поощряемые автором).

Автор в очередной раз предупреждает читателей об ответственности за все деяния в виртуальных просторах Интернета, которые могут быть выполнены с помощью описанных в этой книге программ и методов. Учтите, что книга написана с единственной целью - научить вас противостоять хакерским нападениям, что, безусловно, требует знания хакерских технологий. За прямое применение описанных в книге технологий и их последствия автор ответственности не несет.

Два acпeктa задачи сокрытия следов

Вообще говоря, каждый человек, работающий с компьютером, должен самым внимательным образом отнестись к проблеме сохранения своей конфиденциальности. Дело в том, что вся хранящаяся в вашем компьютере, домашнем или рабочем, информация - это отражение вашей деятельности в виртуальном мире Интернета. И раскрытие этой информации приводит к нарушению того, что англичане называют privacy - конфиденциальность личной жизни. Работая на компьютере, вы неизбежно оставляете за собой следы в виртуальном компьютерном мире, следы, которые, если не предпринять особых мер, запросто позволяют идентифицировать вашу личность в реальном, физическом пространстве, что всегда полезно и очень часто приводит к неприятностям.

Что касается обычных пользователей, то им автор рекомендует почитать кт\: [10], где красочно описаны случаи из жизни (правда, «за бугром») разного рода личностей, которые по разным причинам - беспечности, неопытности и TON подобным недостаткам - забыли о защите этой самой privacy. Такие люди, к^ правило, пребывают в полной уверенности, что виртуальный мир Интернет, или, как сейчас говорят, киберпространство - это нечто потустороннее, никак :• связанное с их жизнью в реальном мире. Но не о них сейчас речь.

Речь сейчас идет о том, как должен вести себя человек, который, путешествуя г виртуальному компьютерному миру, любит перелезать через всякие там разнь шлагбаумы и заборы с табличкой «проход закрыт», и гулять по запретной те: ритории киберпространства. Ясно, что при таких путешествиях следует приде: живаться особых правил личной безопасности и конфиденциальности. Эта з; дача имеет два аспекта.

Во-первых, это локальная безопасность. Следует иметь в виду, что все э~ штучки в виртуальном компьютерном мире оставляют следы и в вашем ко1. пьютере, что может стать источником больших проблем. Вы сами подча можете увидеть на экранах телевизоров, как вслед за очередным, пойманным г горячим следам, «кул хацкером» несут системный блок его компьютера - ясн что не на продажу.

Во-вторых, это глобальная безопасность. При прогулках в киберпространст; хакеру следует оставлять как можно меньше следов хотя бы на закрытых дг постороннего входа территориях. Следует ясно понимать, что любые ваши де, ствия в Интернете отслеживаются Web-серверами и фиксируются в журнальнь файлах как сервера провайдера Интернета, так и посещенных вами We серверов, и выявить по этим записям ваше местоположение в реальном мире сущие пустяки.

Так что есть смысл рассмотреть, где могут скрываться источники угроз для ли-ностей, занимающихся всякими штучками и проделками в киберпространств.

затрагивающими интересы других людей (кстати, эти сведения не будут лиш--ими и для всех прочих пользователей компьютеров).

Локальная безопасность

Итак, предположим, что вы с помощью своего верного друга-компьютера натво-гили делишек, за что и пострадали, и теперь ваш системный блок - в руках разного рода следопытов. Ну и что же они там могут такого увидеть, в этом вашем системном блоке? Да почти все, что надо, чтобы сделать вашу участь просто прискорбной на ближайшие несколько лет. На винчестере компьютера можно найти:

• Наборы хакерских программ, которые вы использовали для своей деятельности.

• Историю путешествий в Интернете, рассказанную вашим Web-браузером.

• Вашу переписку по электронной почте, в том числе давным-давно удаленную из почтовых ящиков.

• Различные файлы данных, которые вы извлекли из чужих компьютеров без спроса у хозяев.

• Множество документов в корзине Windows, которые вы удалили программой Проводник (Explorer) и решили, что все концы спрятаны в воду.

• Информацию о недавно открытых документах, хранимая в файле подкачки Windows.

• Информацию в файле резервной копии системы, а также в файлах резервных копий документов MS Office.

Так что ваш компьютер, по сути, преподносит всем, кому угодно на блюдечке с голубой каемочкой всю информацию о вас и вашей деятельности. Откуда же поступает эта информация? Давайте вначале рассмотрим каналы утечки конфиденциальной информации, предваряя обсуждение мер по их перекрытию.

Гибкие и жесткие диски

Одним из каналов утечки информации о вашей деятельности на компьютере являются гибкие и жесткие диски. Суть дела в том, что гибкие и жесткие диски хранят гораздо больше данных, чем это можно увидеть в окне программы Проводник (Explorer) при их просмотре, о чем очень часто забывают владельцы дисков. Следует твердо помнить, что удаление файлов на диске командой Удалить i Delete) проводника Windows ничего, фактически, не удаляет. Все такие файлы попадают _в корзину Windows и, кроме того, на дисках могут остаться их временные копии, создаваемые, например, приложениями MS Office. Чтобы увидеть это воочию, включите режим отображения скрытых файлов, установив переключатель Показывать скрытые папки и файлы (Show hidden files and folders) в диалоге Свойства папки (Folder Options) проводника Windows. Этот диалог открывается командой Сервис * Свойства папки (Tools » Folder Options) (Рис. 1).

Рис. 1. Установка режима отображения скрытых файлов

После выполнения такой операции удалите какой-либо файл приложения Wor: командой Удалить (Delete) проводника Windows и посмотрите, что осталось ; содержащей его папке. Пример представлен на Рис. 2, на котором отображен: папка со следами, оставшимися при подготовке секретного документа Wore файл которого в процессе подготовки много раз модифицировался, сохранялся восстанавливался после зависания приложения и так далее.

Рис. 2. Папка со скрытыми файлами, оставшимися после удаления основного файла документа

»лк видим, после удаления файла в папке осталось несколько его копий - временные файлы .ТМР, резервные копии .WBK, оставшийся после зависания компьютера файл, начинающийся с символов ~$. Более того, если все эти файлы ~гкже удалить, в том числе, и из корзины Windows, фрагменты информации, ::держащиеся в документе, все равно останутся в файле подкачки системы Л ;ndows. Вам, наверное стало ясно - что ничего вы, в сущности, не удалили -ice ваши делишки налицо. Что же теперь делать?

Лля надежного удаления всей информации, относящейся к файлу документа MS Office, следует применять специальные утилиты очистки дисков, ~эедоставляемые многими приложениями, например, Norton Utilities. Мы же рассмотрим сейчас более эффективное средство очистки дисков от вся-ого компрометирующего мусора - программу Cleaner Disk Security (http://www.theabsolute.net/sware/index.htmlttClndisk).

Очистка файлов и папок

Чтобы стереть файл так, чтобы его не смогла прочитать программа восстановления файлов, следует физически перезаписать все биты файла, хранящиеся на лиске. Однако это не так просто, как может показаться на первый взгляд. Для -здежной очистки носитель секретной информации должен перезаписываться многократно, с использованием шаблонных байтов информации, генерируемых случайным образом. Число итераций зависит от важности информации и типа ее носителя - стандарт министерства обороны США, например, требует трехкратной перезаписи. Только это может гарантировать высокую (но не 100%) :тепень очистки.

На Рис. 3 представлен диалог утилиты Clean Disk Security 5.01 (http://www.theabsolute.net/sware/index.htmWCIndisk), которая удовлетворяет хновным требованиям, предъявляемым к средствам очистки носителей секрет--:ой информации (и даже несколько их усиливает).

Утилита Clean Disk Security 5.01 позволяет стирать отдельные файлы и папки на лисках с помощью команды контекстного меню Erase fully (Полное стирание). Утилита обеспечивает полное стирание - уничтожается как сама информация в эайлах, так и все ее следы, оставшиеся в различных буферах и таблице разме-ления файловой системы (поддерживаются файловые системы FAT и NTFS). Также стирается информация, содержащаяся в свободных областях кластеров эайловой системы, используемых стираемым файлом. Утилита позволяет очищать файл подкачки Windows, корзину Windows, папку Temp с временными райлами (в которую, например, загружаются распаковываемые инсталляционные файлы) и очищать списки последних использованных файлов. При желании пользователь может очистить кэш-память, используемую браузерами Интернета лля хранения загруженных файлов, списки, хранящие предысторию работы в Интернете и файлы куки (cookie). Все эти возможности устанавливаются с по-чощью флажков, представленных в главном диалоге утилиты (Рис. 3).

Рис. 3. Утилита Clean Disk Security 5.01 выполняет очистку дисков четырьмя методами

Как видно на Рис. 3, утилита предоставляет четыре метода очистки:

Simple (Простой) допускает выполнение до 6 проходов, во время которых и: диск записываются случайно генерируемые символы. Этот метод пригоде: для большинства случаев; обычно бывает достаточно 1 прохода.

NIS - поддерживает до 7 проходов с записью случайно генерируемых символов (т.е. наборов бит определенной длины) и их преобразований.

Gutmann - поддерживает до 35 проходов с записью случайно генерируемых шаблонов (т.е. последовательностей случайно генерируемых бит). Этот MCTOZ предложен Питером Гутманом (Peter Gutmann) из департамента компьютерных наук университета г. Окленд. Полная очистка этим методом занимает много времени, но зато обеспечивает защиту от сканирования диска высокоточным оборудованием (есть и такое).

Test mode (Тестовый режим) - выполняет за один проход запись символа #К кода ASCII.

Все эти возможности впечатляют. Очевидно, что утилита Clean Disk Security 5.0' представляет собой профессиональный инструмент для стирания информации и. к тому же, снабженный удобным интерфейсом и исчерпывающей справочной системой.

Вот вам совет, почерпнутый из [10]. Чтобы по-настоящему надежно прикрыться от всяких следопытов, сделайте следующее: купите себе источник бесперебойного питания (UPS); подготовьте надежную утилиту полной очистки жесткого

лиска компьютера. Далее, как только к вам придут нежданные гости, запустите утилиту очистки и дождитесь завершения ее работы. Источник бесперебойного литания поможет вам довести операцию до конца, если ваши гости выключат электропитание в вашей квартире.

Очистка системного реестра

Наконец, упомянем угрозу, исходящую от системного реестра. В нем хранится очень и очень много всего такого, что выдаст вас с головой, стоит только там покопаться квалифицированному специалисту. Вообще-то, именно по этой причине системный реестр пользуется повышенным вниманием хакера, но в данном случае мы имеем в виду внимание людей, интересующихся самими хакерами. Так что не стоит пренебрегать его очисткой от порочащих вас данных, хотя сделать это достаточно сложно. Дело в том, что автоматизированные утилиты очистки реестра, к примеру, Norton Utilities, обеспечивают удаление только ненужных записей, оставшихся после установки/удаления программ, создания и удаления ярлыков и так далее. Избирательно очищать реестр от конфиденциальных данных они не умеют, и все это следует делать руками, в лучшем случае с помощью самодельных сценариев.

Так что лучший выход (исключая полную очистку системы) - это закрытие доступа к реестру для всех, кроме администратора системы, что можно сделать средствами редактора реестра regedt32. Далее следует рассмотреть вопрос об использовании криптографических средств для защиты хакерской системы от нежелательного просмотра любителями чужих секретов. Например, можно прибегнуть к средствам шифрования файлов и папок, предоставляемым файловой системой NTFS.

Глобальная безопасность

В начале главы уже отмечалось, что главная опасность, которая подстерегает хакера, проводящего различные акции в Интернете - это ложное ощущение своей анонимности и неуязвимости. Следует твердо помнить, что все - абсолютно все - действия в Интернете отслеживаются Web-серверами и фиксируются в специальных журналах. Далее эти сведения могут быть предоставлены кому угодно, в том числе и людям, потерпевшим от ваших действий. Поэтому при работе в Интернете следует соблюдать особую осторожность. Обсудим самые опасные ситуации, подстерегающие пользователя, подсоединившегося к Интернету.

Провайдеры

При подключении к Интернету, прежде всего, следует позаботиться об анонимности подключения к серверу провайдера Интернета. Так что при выборе провайдера Интернета прежде всего постарайтесь избежать авторизованного доступа к Интернету и вместо заключения договора отдайте предпочтение покупке карточки Интернета. Такие карточки ныне общедоступны, и при их покупке Е : сохраняете свою анонимность.

Однако анонимность покупки карточки вовсе не означает вашей анонимное: при работе в Интернете, что напрямую связано с конфиденциальностью и без пасностью вашей информации. В настоящее время провайдеры Интернета уст_ навливают на входных телефонных линиях своего сервера устройства автомат; ческого определения номера (АОН). При подключении к серверу провайдег Интернета местная АТС, в ответ на запрос сервера, отсылает ему телефоннь номер входящего звонка, и сервер записывает этот номер в журнал вместе с в. шей учетной записью. В процессе работы в Интернете сервер провайдера буде автоматически фиксировать все ваши действия (адреса посещенных Web-узле; использованные протоколы, возможно, фрагменты трафика), ассоциируя их . вашей учетной записью, хранящей, в том числе, выявленный устройством АО? номер вашего телефона. Так что, в случае необходимости, найти вас не пре; ставляет никакого труда.

Для борьбы с этим злом предлагается множество методов (см., к примеру [5 [10], или выпуски журнала «Хакер» - автор бессилен передать все многообрази. методов и уловок, которые можно встретить на страницах этого, в высшей CTL пени полезного источника). Скажем, предлагается устанавливать на своем KOY пьютере устройство анти-АОН, которое призвано блокировать передачу станцие АТС вашего телефонного номера серверу провайдера Интернета. Однако надежность защиты, обеспечиваемой этими устройствами, никем толком не прове рена, поскольку все они разработаны и изготовлены радиолюбителями. Так чт вряд ли стоит полагаться на эффективность таких устройств, как анти-АОН.

Если уж вы решитесь на использование анти-АОН, программных или аппарат ных, для начала проверьте их эффективность. Многие провайдеры Интернет, предоставляют своим пользователям статистику подключений по пользовательской учетной записи. Это делается для контроля пользователями расходов бюджета, выявления нелегальных подключений и так далее. Так вот, в этой стати стике приводятся телефоны, с которых выполнялись подключения, выявленные устройствами АОН провайдера. Так что включите свой анти-АОН, выполните несколько подключений к Интернету и проверьте - что из этого получилось прежде чем пускаться во все тяжкие!

Общая рекомендация такова - если вы хотите сделать в Интернете нечто, требующее полной конфиденциальности, никогда и ни при каких обстоятельствах не используйте телефон, номер которого позволит выявить вашу личность. И уж во всяком случае, НИКОГДА НЕ ИСПОЛЬЗУЙТЕ ДОМАШНИЙ ТЕЛЕФОН - ЭТО АБСОЛЮТНО, БЕЗУСЛОВНО И СОВЕРШЕННО НЕДОПУСТИМО!!!

Анонимайзеры

При запросе страницы Web-сайта компьютеру приходится обмениваться с сервером определенной информацией, и этот процесс не ограничивается передачей гам для просмотра HTML-кода запрошенной Web-страницы. В процессе обмена :ервер может получить с компьютера Web-путешественника и другую информацию, в том числе идентифицирующую тип компьютера, предыдущий поселенный вами Web-сайт, идентифицирующие вас адреса электронной почты и тому подобное.

Чтобы более четко уяснить возможности по вашей идентификации, имеющиеся ;. серверов Интернета, можно обратиться к Web-сайту по адресу http://www.privacy.net/analyze, который предоставляет услуги по анализу ин-оормации, которую может извлечь Web-сервер из клиентского компьютера. Как видно из Рис. 4, этот сервер Интернета без проблем определил операционную систему клиентского компьютера, используемый Web-браузер, время запроса и IP-адрес сервера провайдера Интернета.

Рис. 4. Фрагмент Web-странщы с результатом анализа конфиденциальности

Более того, на этой же странице чуть ниже (здесь это не видно) представлены результаты запроса одного из серверов Whols, о которых мы рассказывали в Главе 1, содержащие регистрационные сведения о домене провайдера Интернета вместе с телефонами администраторов сети.

Ясно, что обладание такой информацией выдает ваше местоположение с головой - для этого нужно только просмотреть на сервере удаленного доступа провайдера все регистрационные журналы и найти запись, фиксирующую информацию о подключении клиентского компьютера с данным IP-адресом в указанное время и с указанного телефона. Так что недаром ныне многие Web-сайты на

загруженной Web-странице отображают предупреждение о том, что серверу и вестей IP-адрес клиентского компьютера - и в случае несанкционированнь действий последствия гарантированы...

Чтобы избежать такого развития событий, следует обратиться к сервисам, пр. доставляемым некоторыми Web-узлами, которые на компьютерном сленге н_ зываются «анонимайзерами» (от английского слова «anonymizer» - средств сохранения анонимности). Анонимайзер представляет собой служб'. посредник, исполняемую на Web-сервере, с помощью которой пользовател может путешествовать по Сети согласно командам, отдаваемым с браузер своего компьютера. Такую услугу предоставляет, например, анонимайзер г. адресу http://www.anonymizer.com. (Рис. 5).

Рис. 5. Для анонимного посещения Web-сайта просто введите в строку его адрес и щелкните на кнопке Показать. Все последующие ссылки будут направляться от лица апонимайзера

Анонимайзеры - эффективное средство для обеспечения анонимности, но они не лишены недостатков - не все анонимайзеры разрешают FTP-доступ, и многие, в качестве дополнительной «нагрузки», заставляют некоторое время просматривать свои рекламные объявления. Кроме того, учтите, что анонимайзеры, как и все Web-серверы, также ведут регистрационные журналы, фиксирующие своих посетителей. И если для обычных граждан эти журналы недоступны (в этом и состоит суть услуг анонимайзеров), то для необычных граждан в принципе нет ничего невозможного.

Прокси - серверы

Сделать свои путешествия по Web анонимными можно также с помощью прокси-серверов, указывая их параметры в разделе Прокси-сервер (Proxy server) диалога настройки удаленного подключения.

Прокси-сервер работает, по сути, как анонимайзер, т.е. при запросах Web-сайтов на серверах будет регистрироваться адрес прокси-сервера, но есть и некоторые отличия.

• Прокси-сервер не отменяет использование файлов куки.

• Прокси-сервер позволяет работать как с HTTP, так и с FTP-серверами, что дает возможность сделать анонимными не только посещения Web-сайтов, но также и загрузку файлов по протоколу FTP.

• Если использовать адрес прокси-сервера своего провайдера Интернета, угроза идентификации вашего компьютера остается.

• В любом случае прокси-сервер не защитит вас от следопытов со специфическими возможностями.

Для преодоления последнего недостатка можно воспользоваться услугами прокси-сервера постороннего провайдера. Его можно найти, например, с помощью поисковых машин, предоставляемых различными Web-сайтами, скажем, Yahoo. Наберите в строке поиска proxy+server+configuration+Explorer, и в ответ вы получите множество Web-страниц, принадлежащих провайдерам Интернета, с описанием способов настройки их прокси-серверов. Затем попробуйте настроить на эти прокси-серверы свое удаленное соединение с провайдером Интернета и, как правило, после нескольких попыток у вас это получится.

Coкpытиe следов aтaкu

Итак, вы уже усвоили, что, подобно обычному грабителю, никакой настояш хакер, побывав в чужом компьютере, не захочет оставить после себя следы, :-торые могут привлечь к нему внимание. Перед уходом из системы он создаст ней потайные ходы, поместив в систему клавиатурного шпиона, например, ог санного в Главе 6 кейлоггера IKS. Или же установит в компьютер утилиту \~ ленного администрирования взломанной системы, например, трояна NetEL (http://www.netBus.org). Но после всего этого хакеру потребуется уничтожь все следы своего пребывания в системе или, как минимум, сделать так, чтос; информация о его посещении, зарегистрированная системой защиты, не позе лила определить его личность.

Вот какие методы чаще всего используются взломщиками для сохранения ан: нимности и скрытия следов атаки:

• Самое лучшее - это использовать для хакинга в Интернете посторонние KOV пьютеры, доступ к которым не контролируется в должной степени (а так1-компьютеров в любой организации - хоть пруд пруди).

• Можно подменить IP-адрес хакерского компьютера, использовав промеж} точный анонимайзер или прокси-сервер, как мы уже обсуждали это выше .-этой главе.

• Чтобы скрыть установленные на взломанном компьютере хакерские програм мы, можно изменить стандартные номера портов этих программ, что затрудняет их выявление. Например, широко известная программа Back Orifice 200C вместо стандартного порта 31337 может быть перенастроена на использова ние, скажем, порта 31336, и программы, анализирующие открытые порть компьютера, могут быть введены в заблуждение.

• Обязательно следует очистить журналы регистрации событий безопасности, которые заполняются средствами аудита систем Windows NT/2000/XP. Чтобь; отключить средства аудита, взломщик может прибегнуть к утилите auditpo пакета W2RK, или какой-нибудь другой хакерской утилите, например. elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Проще всего это можно сделать с помощью аплета Просмотр событий (Event Viewer) на панели управления Windows 2000/XP.

• Можно скрыть файлы и папки, скопированные во взломанный компьютер, установив в диалоге свойств файлов и папок флажок Скрытый (Hidden). Установка этого атрибута делает файл или папку невидимой в окне проводника Windows, если только не был установлен режим отображения скрытых файлов.

• Можно скрыть процессы, исполняемые хакерскими программами. Хакер может замаскировать запущенную им службу или программу, изменив ее имя на совершенно нейтральное, например, explorer.exe, которое в окне диспетчера задач Windows можно будет спутать с обычным приложением проводника Windows.

• Более сложным являются случаи скрытия процессов хакерских программ за именами других процессов с помощью программ, подобных EliteWrap, описанной в Главе 6.

• Наиболее совершенным методом скрытия хакерских программ следует считать использование так называемых руткитов (от английского слова Rootkit -базовый комплект инструментов). При этом подлинные программы ядра операционной системы подменяются хакерскими утилитами, выполняющими функции входной регистрации пользователей, ведения журнала нажатых клавиш и пересылки собранных данных по сети.

Для противостояния таким трюкам существуют специальные программные :редства контроля целостности компьютерной информации. В качестве примера можно назвать приложение Tripwire (http://www.tripwiresecurity.com), которое позволяет выполнять контроль целостности файлов и папок, и приложение Cisco Systems (http://www.cisco.com) для проверки и анализа содержимого журналов регистрации. Системы Windows 2000/XP также предоставляют встроенный инструмент проверки целостности файлов, про работу с которыми можно узнать, например, в [7].

Отключение аудита

Аудит, несомненно, является одним из наиболее серьезных средств защиты от хакинга компьютерной системы, и отключение средств аудита - одна из первых эпераций, которую выполняют хакеры при взломе компьютерной системы. Для этого применяются различные утилиты, позволяющие очистить журнал регистрации и/или отключить аудит системы перед началом «работы».

Для отключения аудита хакеры могут отключить политику аудита штатными средствами настройки системы защиты Windows NT/2000/XP, однако лучше прибегнуть к более мощному средству, предоставляемому утилитой auditpol.exe из комплекта инструментов W2RK. С ее помощью можно отключать (и включать) аудит как локального, так и удаленного компьютера. Для этого следует из командной строки ввести такую команду:

Здесь //ComputerName - имя удаленного компьютера, а ключ /disable задае отключение аудита на этом компьютере. Утилита auditpol.exe - весьма эффек тивное средство, созданное для управления сетевыми ресурсами, но также, ка-видим, весьма удобный инструмент хакинга (ввод команды auditpol /? отобра жает справочную информацию о применении утилиты).

Очистка журналов безопасности

Для очистки журнала безопасности с помощью специального аплета на панел; управления Windows 2000/XP следует выполнить следующие действия:

• Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка * Панель управления (Settings * Control Panel).

• В отобразившейся Панели управления (Control Panel) откройте папку Администрирование (Administrative Tools).

• Дважды щелкните на аплете Просмотр событий (Event Viewer). На экране появится окно Event Viewer (Просмотр событий) (Рис. 6).

Рис. 6. Окно Просмотр событий

Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню (Рис. 7).

Рис. 7. Контекстное меню пункта Безопастность

Выберите команду Clear all Events (Стереть все события). Отобразится диалог, представленный на Рис. 8, с предложением сохранить журнальные события в файле.

Рис. 8. Запрос о необходимости сохранения журнала безопасности

Щелкните на кнопке Нет (No), если вам больше не требуются зафиксированные в журнале события. Журнал будет очищен.

При выполнении очистки журнала безопасности обратите внимание на тот факт, что после выполнения этой операции в журнал сразу же записывается новое собы-тие аудита - только что выполненная операция очистки! Таким образом, хакер все же оставит свой след - пустой журнал с зафиксированным событием очистки журнала. Этот недостаток можно исправить, применив для очистки журнала ха-керскую утилиту elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Эта утилита предназначена, в первую очередь, для очистки журналов Windows NT 4, но ее последняя версия работает и с системой Windows 2000. Вот как она запускается из командной строки.

C:\els004>elsave -s \\ComputerName -С

Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события журнала в файл. Ввод команды elsave /? приводит к отображению справки, и вы можете сами испытать эффективность всех предлагаемых возможностей.

Элементарная проверка показывает, что отмеченный выше недостаток остался - применение утилиты elsave.exe регистрируется в журнале безопасности как событие очистки журнала. Однако теперь мы можем сделать следующий трюк -поместить задание на очистку журнала утилитой elsave.exe в планировщик заданий Windows (запустив его или из меню Пуск (Start), либо командой AT из командной строки MS-DOS). Планировщик выполнит операцию очистки под учетной записью System, что сильно затруднит поиски хакера.

Скрытие установленных файлов, программ и процессов

Чтобы скрыть установленные программы, их можно переименовать, а в свойствах файлов и папок установить атрибут невидимости. Другой вариант - внедре-

ние хакерских программ в ядро системы, например, с помощью "руткитов". Обсудим эти возможности подробнее.

Сокрытие файлов

Чтобы скрыть установленный во взломанную систему файл, можно прибегнуть к простой процедуре установления для файла атрибута невидимости в диалоге свойств файла (Рис. 9).

Puc. 9. Скрытие файлов в диалоге проводника Windows

Следует правда, отметить, что установка параметра отображения скрытых фай-лов в диалоге свойств проводника Windows сразу же демаскирует скрытые таким образом файлы.

Скрытие процессов

В предыдущей главе мы указывали, что для создания потайного хода в систему хакеры часто используют манипуляции, связанные с недостатками процесса загрузки систем Windows. Они оставляют свои файлы в папке автозагрузки взломанной системы, после чего при входе пользователя в систему автоматически загружаются хакерские программы. Папка автозагрузки Windows 2000/XP находится в разделе Documents and Settings\User\Start Menu\Programs\Startup и доступна для всех зарегистрированных в системе пользователей. Так что, заменив имя исполняемого файла хакерской программы каким-либо нейтральным именем, можно надеяться, что невнимательный пользователь не заметит в спи-ске исполняемых процессов хакерскую программу.

Следует также учесть, что в диалоге Диспетчера задач Windows отображаются отнюдь не все процессы, исполняемые компьютером в текущий момент време-ни, и для обнаружения таких процессов следует прибегнуть к специальным средствам, например, программе выявления троянских коней The Cleaner http://www.moosoft.com).

Другой, более изощренный метод сокрытия одних процессов за другими с помощью утилиты EliteWrap был описан в Главе 6. Однако наиболее изощренный метод сокрытия состоит в применении комплектов хакерских программ -"рукритов" - встраиваемых в ядро системы взамен подлинных.

«Рукриты»

Вообще говоря, «руткиты» - это широко распространенный метод хакинга сис-тем UNIX [3]. Наборы программ, также называемых «отмычками», после уста-новки в ядро системы модифицирую функции таких интересных процедур, как входная регистрация пользователей, после чего начинают перехват вводимых паролей. Полноценные «руткиты» включают в себя функции кейлоггера, снифе-ра, средства для очистки журналов регистрации и передачи собранных данных по сети, что позволяет хакеру осуществлять полномасштабный хакинг системы.

Для систем Windows NT/2000/XP также активно ведется разработка подобных наборов отмычек, и на сайте ROOTKIT СОМ (http://www.rootkit.com) предлагается для всеобщего рассмотрения и апробации целый ворох разнообразных "рукритов". Входящие в «руткиты» программы функционируют как перехват-чики обращений программ к функциям ядра операционной системы, что позво-ляет «руткитам» скрывать процессы и ключи системного реестра, перенаправлять вызовы системных процедур на хакерские программы и т.д.

В связи с этим очень интересен проект NTKap, в рамках которого создается про-грамма, очищающая все списки ACL системы защиты (помните, мы говорили об этом в Главе 4), делая компьютер открытым для любых манипуляций. Однако, судя по сообщениям на форумах этого же сайта, до полного успеха в деле созда-ния настоящего, полноценного «руткита» систем Windows NT/2000/XP пока еще далеко. Поэтому всем желающим проверить свои силы на сайте ROOTKIT COM предлагается загрузить исходные коды программного обеспечения «руткитов» и поработать над его усовершенствованием. Так что, если вас это заинтересовало...

Заключение

Сокрытие следов своей работы на компьютере и сохранение своей конфиденци-альности в Интернете - это непременное условие для успешной деятельности хакера без особых помех (по крайней мере, какое-то время). Так что не стоит пренебрегать мерами своей защиты, по крайней мере, до приобретения некото-рого опыта. Как показано в этой главе, обеспечение своей безопасности и кон-фиденциальности вовсе не так сложно, если твердо, раз и навсегда преодолеть ложное ощущение своей анонимности и недосягаемости во время пребывания в виртуальном киберпространстве, особенно на чужой территории. И перестаньте пользоваться домашними телефонами - не ройте яму самому себе! Ведь 50% (вдумайтесь - половина!) всех так называемых «хакеров» лезут в чужой огород с домашнего телефона - большего идиотизма трудно себе представить!

Для антихакера все эти соображения также имеют самое непосредственное зна-чение - пребывая в киберпространстве, очень просто вступить в конфликт с чу-жими интересами или с путаными и туманными законами разных стран, или по-пасть под пристальное внимание личностей самого разного рода занятий и на-клонностей [9]. Ведь недаром ныне на рынке программных продуктов все ак-тивнее предлагаются программы для защиты компьютерной конфиденциальности, например, Norton Personal Firewall, PGP Desktop Security и другие. Не стоит ими пренебрегать, если вы хотите комфортно чувствовать себя во время пребы-вания в виртуальном компьютерном мире, который ныне все больше и больше пересекается с нашим реальным, физически ощутимым миром.

Hosted by uCoz