Как заметать следы (Часть 3)
Как заметать следы (Часть 3) "Ученики мои!
Думаете ли вы, что я что-то скрываю от вас?
Нет, я ничего от вас не прячу.
Я говорю лишь то, что вам самим должно быть ведомо".
Конфуций
Эта статья продолжение серии статей об элементарных навыках компьютерной безопасности и разбор публикаций Ван Хаузера "Как скрывать свои следы".
3. Ваша учетная запись
Поговорим о вашей учетной записи. О вашей реальной учетной записи, полученной в школе, университете, на работе, у провайдера, которая ассоциирована с вашим именем.
Учетная запись (в английском варианте — "Account", или еще один часто употребляемый синоним — ID, что является аббревиатурой слова "идентификатор") — это способ идентификации пользователей компьютерных систем. Большинство систем при первой регистрации потребуют дать имя учетной записи и, обычно, но не всегда, завершить регистрацию введением пароля. Это достаточно общее определение. Учетные записи — это UIN в ICQ, "Nick" в чатах, "имя пользователя в" в Windows, то, что пишется "до собаки" ("@") в адресе электронной почты. Правильно этот значок читается как "эт" (английское "at"). Обычно имя учетной записи, ее права и пароль дает вам администратор при регистрации или вы сами, регистрируясь на бесплатных серверах типа "Yahoo".
Учетные записи, чаще всего: либо часть имени и фамилии пользователя ("tshimomura" и "kmitnik", соответственно), либо часть функций (прав) пользователя в компьютерной системе ("Administrator", "dbadmin", "webmaster"), либо аббревиатура структурного подразделения предприятия вкупе с учетным номером (по ведомости, например), либо, то, что придумано кем-то самостоятельно.
Если удалось проследить определенную зависимость в названиях учетных записей, то, возможно, и угадать другие, в особенности, если использованы номера сотрудников, названия подразделений или есть список сотрудников предприятия, полученный каким-либо другим путем.
В руководствах западных хакеров по взлому я набрел на следующую градацию учетных записей. Она не претендует на оригинальность, но представляет интерес, и я счел возможным ее воспроизвести, дав в скобках английские эквиваленты. Но я не везде даю буквальный перевод. Учетные записи были поделены на четыре типа: "бог" ("God"), "привилегированная" ("Special"), "обычная" ("Regular") и "гостевая" ("Guest").
Учетная запись с правами "бога" позволяет делать с системой все, что угодно, — от добавления новых пользователей до изменений любых прав, привилегий и паролей и полной реконфигурации системы. Она должна всегда присутствовать в системе и, как правило, количество неудачных регистраций по ней не ограничено. И для хакеров учетная запись с такими правами является основной мишенью. "Привилегированные" учетные записи, обычно или специальные записи, используемые самой системой, или это записи, выполняющие урезанные административные функции без предоставления полного доступа. "Обычные" записи — это записи, заведенные для "рядовых" пользователей, для отработки рутинных задач. "Гостевые" учетные записи создаются для использования любым (сторонним) пользователем, часто просто для удобства тех, у кого нет постоянной учетной записи для входа в систему. Примеры таких записей — это анонимный вход по ftp, запись, обслуживающая HTTP-сервис, для получения HTML-страниц посетителями сайта. Для гостевых записей типичны жесткие ограничения в правах доступа к системе, вход без пароля, неограниченное количество регистраций, особенно, если эта система публичного доступа.
Деление учетных записей на группы первоначально было создано для удобств администрирования. То есть, вместо назначения прав доступа к разделяемому ресурсу или сервису, для каждой учетной записи назначаются права для всей группы, куда входят необходимые записи, заведенные для пользователей, которым требуется легальный доступ. Современные операционные системы позволяют одной учетной записи входить в несколько групп.
Никогда не нарушайте следующие правила:
Никогда не совершайте ничего незаконного или подозрительного, используя вашу реальную учетную запись!
Никогда даже не пробуйте телнетиться к взламываемому хосту!
Списки рассылки по теме безопасности можно смело читать с этой учетной записи.
Но все, что может кому-то показаться связанным с хэкингом, необходимо или зашифровывать, или сразу же удалять.
Никогда не оставляйте, не храните хакерские утилиты или утилиты для обеспечения безопасности на дисковом пространстве, отведенном под учетную запись.
Мест для этих целей (создания контейнеров или тайников) в Интернет более чем достаточно. "Geocities" дает бесплатно 15 Мb для размещения сайта. Или, послав себе на ящик, открытый на бесплатном сервере, сообщение с вложением, далее переместить его в специально созданную в ящике папку. После, открыв свой ящик, можно воспользоваться файлом, содержащим, к примеру, копию электронной записной книжки с необходимыми телефонами. Кроме повышенной мобильности — вы уже не привязаны ни к определенному месту, ни к определенному компьютеру, — это повысит и уровень вашей безопасности. Еще: файл-вложение, критичный по содержанию, можно зашифровать. Тем же Norton Secret Stuff, например. Или запрятать в GIF-картинку с помощью S-Tools. Похожей методикой пользовался, уже ставший легендарным, Кевин Митник, хранивший данные о взломанных сотовых телефонах на "чужих" компьютерах.
По возможности используйте POP3-протокол для подключения к почтовому серверу и скачивайте вашу почту с одновременным удалением (или сделайте это по-другому, если вы достаточно подкованы в Unix).
Никогда не выдавайте название вашего настоящего почтового ящика, если ваше реальное имя прописано в вашем ".plan"-файле и/или в поле "geco" (помните о команде "EXPN" из "sendmail"...).
В Интернет появилось много бесплатного сервиса "форвардинга" (в английском варианте "forwarding") электронной почты. Типичный пример: сервер www.bigfoot.com. Это еще стали называть "пожизненным" адресом. Но при смене дат 2000 года как раз Bigfoot ("снежный человек") куда-то пропал на две недели.
Зарегистрировавшись на Bigfoot, вы вводите название своего реального почтового ящика и, если необходимо, адрес "домашней страницы". При посыле почты на Bigfoot, он автоматически пересылает (форвардит) на ваш реальный e-mail или переключает браузер на реальный адрес Homepage. Мои вечные адреса выглядят следующим образом: e-mail — werebad@bigfoot.com, homepage — www.bigfoot.com/~werebad, соответственно.
Это дает несколько преимуществ.
Первое: вы можете несколько раз за свою жизнь поменять место работы, провайдера, но ваши респонденты всегда смогут послать вам письмо, абстрагируясь от перемен в вашей жизни или сиюминутной политической конъюнктуры, и посмотреть всегда вашу страницу, сколько бы раз вы ни меняли хостинг.
Второе: вы закрываете реальное имя почтового ящика от спаммеров и других недоброжелателей.
Третье: Форвард-серверы имеют возможность фильтрации сообщений по заранее заданным критериям. Однажды, два года назад, мне тоже пришлось этим воспользоваться.
Реальная история.
Настырная девица, поднаторевшая в околохакерских технологиях, решила послать мне "свое фото из Испании", несмотря на то, что ни я, ни мои "товарищи по станку" категорически не давали ей на это разрешения. Тогда она воспользовалась программой мэйл-бомбером, позволявшей многократно посылать одно и то же сообщение с заданными интервалами времени. Со словами "моему любимому, мое фото, 500 раз, каждые 30 секунд", она инициировала атаку моей почты и ушла с работы. После получения 17 копий фото я, поняв, что происходит, задействовал фильтры, которые стали "отфутболивать" ее сообщения к ней обратно на ящик. Придя в понедельник на работу, а все происходило в пятницу вечером в конце рабочего дня, она пришла в скверное расположение духа — "рухнул" ее ящик, а не мой. Больше она не отваживалась на компьютерные хулиганства в мой адрес.
Случаются ситуации, когда демоны-мейлеры дают сбой и начинают, зациклившись, посылать поток сообщений. Тут форвадер с фильтрами придется кстати, закрыв реальный ящик от хлама, происходящего от программных неполадок. Так что, форвадер-сервер спасает не только от не в меру обнаглевших "сетевых" девиц.
Теперь немного горечи. В последнее время появились почтовые клиенты, имеющие возможность создавать запрос подтверждения чтения письма (строка "X-Confirm-Reading-To: e-mail" в заголовке письма) или подтверждения доставки (строка "Return-Receipt-To: e-mail" в заголовке письма). Поле "e-mail" — адрес, куда высылается подтверждение. Это уверенно и просто позволяет пробить форвардера и выяснить реальный адрес пересылки. Кроме того, анализируя полученный текст подтверждения, можно проследить маршрут пересылки подтверждения, реальный IP-адрес респондента, время чтения письма, далее эти данные использовать для идентификации личности или места (времени), с которого читаются письма. Последнее: строка "X-Sender" в заголовке письма может также выдать название реальной учетной записи.
Как с этим бороться, тема отдельного обсуждения, посему закончу словами Конфуция "В хорошем разговоре не все говорится" .
Название почтового ящика давайте только тем, кому можно доверять и кто так же предусмотрителен и предпринимает меры безопасности, потому что, если схватят их, вы можете быть следующим (или если это окажется "легавый", а не хакер).
Это же правило можно распространить и на номера телефонов. Продвинутые хакеры для повышения уровня своей приватности создают несколько параллельных "легенд", почтовых ящиков (сайтов) соответственно. Другими словами, заводят одну учетную запись для деловой переписки, другую — для личной, еще одну — для "черных" дел. Открыть "бросовый" ящик на бесплатном сервере вроде "Hotmail" и закрыть его через полчаса задача по силам любому. Посмею привести последнюю рекомендацию: тяжело проверять постоянно более трех ящиков. Ну, только если "для вас жизнь не стала сплошной войной и борьбой за выживание" :).
Обменивайтесь почтой с другими хакерами, только если она зашифрована (PGP, например). Системные администраторы зачастую лазят по каталогам других пользователей и читают чужую почту! Или еще один хакер может взломать ваш сайт и получить ваши материалы!
Никогда не используйте свою учетную запись для того, что выдает ваш интерес к хэку.
Здесь стоит помянуть "волчий закон" в хакерской интерпретации. Как волк ни охотится вблизи своего логова, а встретив рядом охотников, завлекает их, пытаясь увести в сторону, так и "продвинутые" хакеры не атакуют ни с домашних компьютеров, ни с рабочего места (места учебы), ни с компьютеров своих друзей. Показательно то, что во время успешных облав на хакеров в России их "срывают за плечи" с рабочих мест во время проведения "противоправных деяний". Очень часто прямо в учебных корпусах. Для доказательства вины нужно успеть взять с поличным и ни в коем случае "не выключать компьютер, с которого атаковали". Так что, "свет внезапно не пропадет, и винчестер в окно выбрасывать не придется" . Тем, кто хочет лучше разобраться, как проводятся оперативные и следственные действия правоохранительными структурами, рекомендую проработать книгу: "Крылов В.В. Информационные компьютерные преступления. — М.: Издательская группа ИНФРА·М — НОРМА, 1997". Я до сих пор ее вижу в продаже. Прекрасный постатейный разбор дан в статье "И снова кризис жанра" Павла Протасова. Но подготовкой, программированием утилит, просто тестами заниматься на "своих" компьютерах вполне допустимо, хотя и нежелательно. Я заканчиваю полемику с Самусенко.
Вторая опасность, о которой помянул Ван Хаузер — это возможность захвата учетной записи и материалов, наработок другим хакером. Среди компьютерных взломщиков есть особая, я бы сказал, "элитная" категория, которую называют метахакерами. Это хорошо подкованные и прагматичные люди, наблюдающие за другими хакерами, пользующиеся результатами их труда, и, нередко, "подставляющими их под удар" . Закончу мысль цитатой из Евангелия: "Взявший в руки меч от меча и погибнет" . Об этом тоже следует не забывать...
Допустимо проявлять интерес к проблемам безопасности, но не более того.
Что мы и делаем:).
www.geocities.com/werebad/
(c) компьютерная газета
Думаете ли вы, что я что-то скрываю от вас?
Нет, я ничего от вас не прячу.
Я говорю лишь то, что вам самим должно быть ведомо".
Конфуций
Эта статья продолжение серии статей об элементарных навыках компьютерной безопасности и разбор публикаций Ван Хаузера "Как скрывать свои следы".
3. Ваша учетная запись
Поговорим о вашей учетной записи. О вашей реальной учетной записи, полученной в школе, университете, на работе, у провайдера, которая ассоциирована с вашим именем.
Учетная запись (в английском варианте — "Account", или еще один часто употребляемый синоним — ID, что является аббревиатурой слова "идентификатор") — это способ идентификации пользователей компьютерных систем. Большинство систем при первой регистрации потребуют дать имя учетной записи и, обычно, но не всегда, завершить регистрацию введением пароля. Это достаточно общее определение. Учетные записи — это UIN в ICQ, "Nick" в чатах, "имя пользователя в" в Windows, то, что пишется "до собаки" ("@") в адресе электронной почты. Правильно этот значок читается как "эт" (английское "at"). Обычно имя учетной записи, ее права и пароль дает вам администратор при регистрации или вы сами, регистрируясь на бесплатных серверах типа "Yahoo".
Учетные записи, чаще всего: либо часть имени и фамилии пользователя ("tshimomura" и "kmitnik", соответственно), либо часть функций (прав) пользователя в компьютерной системе ("Administrator", "dbadmin", "webmaster"), либо аббревиатура структурного подразделения предприятия вкупе с учетным номером (по ведомости, например), либо, то, что придумано кем-то самостоятельно.
Если удалось проследить определенную зависимость в названиях учетных записей, то, возможно, и угадать другие, в особенности, если использованы номера сотрудников, названия подразделений или есть список сотрудников предприятия, полученный каким-либо другим путем.
В руководствах западных хакеров по взлому я набрел на следующую градацию учетных записей. Она не претендует на оригинальность, но представляет интерес, и я счел возможным ее воспроизвести, дав в скобках английские эквиваленты. Но я не везде даю буквальный перевод. Учетные записи были поделены на четыре типа: "бог" ("God"), "привилегированная" ("Special"), "обычная" ("Regular") и "гостевая" ("Guest").
Учетная запись с правами "бога" позволяет делать с системой все, что угодно, — от добавления новых пользователей до изменений любых прав, привилегий и паролей и полной реконфигурации системы. Она должна всегда присутствовать в системе и, как правило, количество неудачных регистраций по ней не ограничено. И для хакеров учетная запись с такими правами является основной мишенью. "Привилегированные" учетные записи, обычно или специальные записи, используемые самой системой, или это записи, выполняющие урезанные административные функции без предоставления полного доступа. "Обычные" записи — это записи, заведенные для "рядовых" пользователей, для отработки рутинных задач. "Гостевые" учетные записи создаются для использования любым (сторонним) пользователем, часто просто для удобства тех, у кого нет постоянной учетной записи для входа в систему. Примеры таких записей — это анонимный вход по ftp, запись, обслуживающая HTTP-сервис, для получения HTML-страниц посетителями сайта. Для гостевых записей типичны жесткие ограничения в правах доступа к системе, вход без пароля, неограниченное количество регистраций, особенно, если эта система публичного доступа.
Деление учетных записей на группы первоначально было создано для удобств администрирования. То есть, вместо назначения прав доступа к разделяемому ресурсу или сервису, для каждой учетной записи назначаются права для всей группы, куда входят необходимые записи, заведенные для пользователей, которым требуется легальный доступ. Современные операционные системы позволяют одной учетной записи входить в несколько групп.
Никогда не нарушайте следующие правила:
Никогда не совершайте ничего незаконного или подозрительного, используя вашу реальную учетную запись!
Никогда даже не пробуйте телнетиться к взламываемому хосту!
Списки рассылки по теме безопасности можно смело читать с этой учетной записи.
Но все, что может кому-то показаться связанным с хэкингом, необходимо или зашифровывать, или сразу же удалять.
Никогда не оставляйте, не храните хакерские утилиты или утилиты для обеспечения безопасности на дисковом пространстве, отведенном под учетную запись.
Мест для этих целей (создания контейнеров или тайников) в Интернет более чем достаточно. "Geocities" дает бесплатно 15 Мb для размещения сайта. Или, послав себе на ящик, открытый на бесплатном сервере, сообщение с вложением, далее переместить его в специально созданную в ящике папку. После, открыв свой ящик, можно воспользоваться файлом, содержащим, к примеру, копию электронной записной книжки с необходимыми телефонами. Кроме повышенной мобильности — вы уже не привязаны ни к определенному месту, ни к определенному компьютеру, — это повысит и уровень вашей безопасности. Еще: файл-вложение, критичный по содержанию, можно зашифровать. Тем же Norton Secret Stuff, например. Или запрятать в GIF-картинку с помощью S-Tools. Похожей методикой пользовался, уже ставший легендарным, Кевин Митник, хранивший данные о взломанных сотовых телефонах на "чужих" компьютерах.
По возможности используйте POP3-протокол для подключения к почтовому серверу и скачивайте вашу почту с одновременным удалением (или сделайте это по-другому, если вы достаточно подкованы в Unix).
Никогда не выдавайте название вашего настоящего почтового ящика, если ваше реальное имя прописано в вашем ".plan"-файле и/или в поле "geco" (помните о команде "EXPN" из "sendmail"...).
В Интернет появилось много бесплатного сервиса "форвардинга" (в английском варианте "forwarding") электронной почты. Типичный пример: сервер www.bigfoot.com. Это еще стали называть "пожизненным" адресом. Но при смене дат 2000 года как раз Bigfoot ("снежный человек") куда-то пропал на две недели.
Зарегистрировавшись на Bigfoot, вы вводите название своего реального почтового ящика и, если необходимо, адрес "домашней страницы". При посыле почты на Bigfoot, он автоматически пересылает (форвардит) на ваш реальный e-mail или переключает браузер на реальный адрес Homepage. Мои вечные адреса выглядят следующим образом: e-mail — werebad@bigfoot.com, homepage — www.bigfoot.com/~werebad, соответственно.
Это дает несколько преимуществ.
Первое: вы можете несколько раз за свою жизнь поменять место работы, провайдера, но ваши респонденты всегда смогут послать вам письмо, абстрагируясь от перемен в вашей жизни или сиюминутной политической конъюнктуры, и посмотреть всегда вашу страницу, сколько бы раз вы ни меняли хостинг.
Второе: вы закрываете реальное имя почтового ящика от спаммеров и других недоброжелателей.
Третье: Форвард-серверы имеют возможность фильтрации сообщений по заранее заданным критериям. Однажды, два года назад, мне тоже пришлось этим воспользоваться.
Реальная история.
Настырная девица, поднаторевшая в околохакерских технологиях, решила послать мне "свое фото из Испании", несмотря на то, что ни я, ни мои "товарищи по станку" категорически не давали ей на это разрешения. Тогда она воспользовалась программой мэйл-бомбером, позволявшей многократно посылать одно и то же сообщение с заданными интервалами времени. Со словами "моему любимому, мое фото, 500 раз, каждые 30 секунд", она инициировала атаку моей почты и ушла с работы. После получения 17 копий фото я, поняв, что происходит, задействовал фильтры, которые стали "отфутболивать" ее сообщения к ней обратно на ящик. Придя в понедельник на работу, а все происходило в пятницу вечером в конце рабочего дня, она пришла в скверное расположение духа — "рухнул" ее ящик, а не мой. Больше она не отваживалась на компьютерные хулиганства в мой адрес.
Случаются ситуации, когда демоны-мейлеры дают сбой и начинают, зациклившись, посылать поток сообщений. Тут форвадер с фильтрами придется кстати, закрыв реальный ящик от хлама, происходящего от программных неполадок. Так что, форвадер-сервер спасает не только от не в меру обнаглевших "сетевых" девиц.
Теперь немного горечи. В последнее время появились почтовые клиенты, имеющие возможность создавать запрос подтверждения чтения письма (строка "X-Confirm-Reading-To: e-mail" в заголовке письма) или подтверждения доставки (строка "Return-Receipt-To: e-mail" в заголовке письма). Поле "e-mail" — адрес, куда высылается подтверждение. Это уверенно и просто позволяет пробить форвардера и выяснить реальный адрес пересылки. Кроме того, анализируя полученный текст подтверждения, можно проследить маршрут пересылки подтверждения, реальный IP-адрес респондента, время чтения письма, далее эти данные использовать для идентификации личности или места (времени), с которого читаются письма. Последнее: строка "X-Sender" в заголовке письма может также выдать название реальной учетной записи.
Как с этим бороться, тема отдельного обсуждения, посему закончу словами Конфуция "В хорошем разговоре не все говорится" .
Название почтового ящика давайте только тем, кому можно доверять и кто так же предусмотрителен и предпринимает меры безопасности, потому что, если схватят их, вы можете быть следующим (или если это окажется "легавый", а не хакер).
Это же правило можно распространить и на номера телефонов. Продвинутые хакеры для повышения уровня своей приватности создают несколько параллельных "легенд", почтовых ящиков (сайтов) соответственно. Другими словами, заводят одну учетную запись для деловой переписки, другую — для личной, еще одну — для "черных" дел. Открыть "бросовый" ящик на бесплатном сервере вроде "Hotmail" и закрыть его через полчаса задача по силам любому. Посмею привести последнюю рекомендацию: тяжело проверять постоянно более трех ящиков. Ну, только если "для вас жизнь не стала сплошной войной и борьбой за выживание" :).
Обменивайтесь почтой с другими хакерами, только если она зашифрована (PGP, например). Системные администраторы зачастую лазят по каталогам других пользователей и читают чужую почту! Или еще один хакер может взломать ваш сайт и получить ваши материалы!
Никогда не используйте свою учетную запись для того, что выдает ваш интерес к хэку.
Здесь стоит помянуть "волчий закон" в хакерской интерпретации. Как волк ни охотится вблизи своего логова, а встретив рядом охотников, завлекает их, пытаясь увести в сторону, так и "продвинутые" хакеры не атакуют ни с домашних компьютеров, ни с рабочего места (места учебы), ни с компьютеров своих друзей. Показательно то, что во время успешных облав на хакеров в России их "срывают за плечи" с рабочих мест во время проведения "противоправных деяний". Очень часто прямо в учебных корпусах. Для доказательства вины нужно успеть взять с поличным и ни в коем случае "не выключать компьютер, с которого атаковали". Так что, "свет внезапно не пропадет, и винчестер в окно выбрасывать не придется" . Тем, кто хочет лучше разобраться, как проводятся оперативные и следственные действия правоохранительными структурами, рекомендую проработать книгу: "Крылов В.В. Информационные компьютерные преступления. — М.: Издательская группа ИНФРА·М — НОРМА, 1997". Я до сих пор ее вижу в продаже. Прекрасный постатейный разбор дан в статье "И снова кризис жанра" Павла Протасова. Но подготовкой, программированием утилит, просто тестами заниматься на "своих" компьютерах вполне допустимо, хотя и нежелательно. Я заканчиваю полемику с Самусенко.
Вторая опасность, о которой помянул Ван Хаузер — это возможность захвата учетной записи и материалов, наработок другим хакером. Среди компьютерных взломщиков есть особая, я бы сказал, "элитная" категория, которую называют метахакерами. Это хорошо подкованные и прагматичные люди, наблюдающие за другими хакерами, пользующиеся результатами их труда, и, нередко, "подставляющими их под удар" . Закончу мысль цитатой из Евангелия: "Взявший в руки меч от меча и погибнет" . Об этом тоже следует не забывать...
Допустимо проявлять интерес к проблемам безопасности, но не более того.
Что мы и делаем:).
www.geocities.com/werebad/
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 44 за 2000 год в рубрике безопасность :: разное