Как заметать следы (Часть 5)


Как заметать следы (Часть 5).


"Десять лет я не мог найти дорогу назад, а теперь позабыл, откуда пришел".

Мое любимое чаньское изречение.


Раздел IV — продвинутые техники

1. Предисловие

Как только вы пустили свой первый перехватчик пакетов и приступили к взломам в глобальных сетях, вы должны научиться этим приемам и проводить эти проверки.

Применяйте изложенные здесь советы, — иначе ваша деятельность быстро закончится.

2. Предотвращение любых трассировок

Временами ваши взломы не останутся незамеченными. На самом деле, проблема не в этом, какие-то сайты "повалятся", но сколько еще предстоит преодолеть. Самое опасное, когда они попытаются проследить вас до местонахождения, далее иметь дело с вами — арестовать вас!

В этой короткой главе будет рассказано о каждой возможности для них вас отследить и о ваших возможностях это предотвратить.

Обычно администратор без проблем определяет систему, откуда пришел хакер: проверяя записи в журналах (особенно, если хакер на деле "ламер"), просматривая выходные данные перехватчика пакетов, который инсталлировал взломщик, — в них будет информация и о нем тоже, используя любые утилиты для аудита, такие как "loginlog", просто просматривая все установленные соединения с помощью "netstat", если хакер сейчас в on-line — подумайте, что они там обнаружат!

Вот почему вам необходим шлюзовой сервер.

Шлюзовой сервер как посредник — что это такое?

Это один из многочисленных серверов, где у вас заведены учетные записи, являющийся обыкновенной системой, к которой получен "корневой" доступ. Доступ к "корню" необходим для изменения файлов "WTMP" и "LASTLOG", возможно для поверхностного аудита журналов и не для чего более. Следует на постоянной основе менять шлюзовые серверы, например, через каждую одну-две недели, и не использовать их повторно, по меньшей мере, месяц. При такой вашей линии поведения маловероятно, что они отследят ваш маршрут к самому началу или хотя бы до следующей точки подключения.

Сервер, с которого вы атакуете, — основа для всей активности. С этого сервера и начинается хэк. Подключитесь по "telnet" (или лучше по "remsh/rsh") к машине, которая будет шлюзом, и затем — к цели для атаки. Вам снова понадобится доступ на уровне "корня" для изменения журналов протоколирования. Следует менять ваш атакующий сервер каждые две-четыре недели.

Ваш опорный dialup-сервер — это самая критическая точка. Как только единожды будет отслежен маршрут к вашей dialup-машине — вы погибли. Звонок в полицию, трассировка линии — и ваша хакерская деятельность уже вошла в историю, как, возможно, и остаток ваших дней.

У вас нет необходимости в корневом доступе к опорному компьютеру. Так как подключение к нему идет только через модем, то нет журналов регистрации активности, которые необходимо изменять. Следует только для входа в систему каждый день использовать разные учетные записи и пытаться входить по редко используемым.

И ни в коем случае ничего не изменяйте в системе!

Заведите себе, как минимум, два опорных хоста, через которые вы подключаетесь по "dialup", и меняйте их каждые один-два месяца.

В простых случаях в Интернет для сокрытия своего реального IP-адреса (и местонахождения соответственно) чаще всего применяют прокси-серверы сторонних провайдеров.

Proxy-серверы

Прокси-сервер ("proxy" — дословно с английского: "заместитель", "доверенный агент") — это сервер, который часто называют шлюзом прикладного уровня, выступающий посредником между компьютерными системами и устанавливающий соединение между реальным клиентом и необходимым узлом.

Практически каждый И-нет провайдер создает для своих пользователей собственный прокси-сервер, который выступает в роли "кэша", ускоряющего доступ и загрузку. Хотя многие провайдеры, имеющие прокси-сервера, закрывают к ним публичный доступ, некоторые могут быть общедоступными для всех или почти всех. Не всякий провайдер захочет, чтобы его прокси пользовались сторонние, им неавторизованные пользователи. Но это вопрос больше этический.

Прокси бывают непрозрачными (анонимными), которые можно использовать для обеспечения приватности и ускорения работы в Интернет. Большинство прокси-серверов не обрезают "Cookies", не модифицируют (скрывают) поле "User-Agent", идентифицирующее браузер, а только заменяют IP-адрес реального клиента на свой собственный, что, тем не менее, позволяет скрыть свое истинное местонахождение. Большинство сторонних прокси прозрачны (не анонимны), т.е. добавляют к запросу поле, содержащее реальный IP-адрес. Их можно применять, например, для подключения к почтовым серверам с Web-интерфейсом с целью подмены своего IP, но нельзя использовать для сокрытия местонахождения на серьезном уровне (возможно раскрытие самого факта применения прокси и получение реального адреса). Тем не менее, их также используют для ускорения соединений. Прокси-серверы при необходимости тестируют на анонимность.

Прокси-сервер может иметь ограничения по географическому признаку (точнее, по IP-адресам пользователей). Другими словами, не будет пускать пользователей определенных доменов. Это может быть связано с конъюнктурными соображениями конкретного провайдера, закрывающего доступ пользователей своего конкурента или по политическим мотивам бойкотирующего определенную страну или целый регион. Кстати, это хорошо просматривается для Беларуси. Не стану вдаваться в политику, каждый ответит сам на вопрос, почему это так, но по своему опыту я сужу, что под "российским флагом" меня "принимали в гости" охотнее, и тем более я был "свой среди своих" с английским или американским IP. Это можно обойти, подключившись сначала к провайдеру с нейтральной географической принадлежностью (к туркам, корейцам или финнам) и "прорубив окно в Европу", далее переподключиться к нужному серверу. Не всякий прокси пустит — посему поможет терпение и перебор вариантов "методом тыка".

Случается, что прокси закрывает доступ к определенным сайтам или определенному содержимому. Другими словами, на "Yahoo" — пожалуйста, а в "Мафию" — нет. Об этом тоже следует помнить, "заготавливая впрок" десяток-другой проксей, тестируя их на проходимость.

Браузеры

Современные браузеры имеют встроенную поддержку прокси.

В Internet Explorer 4.x для этого следует пройти по пунктам меню "View\ Internet Options...", далее страница блокнота "Connection". На групповой панели "Proxy server" пометить флажок "Access the Internet using proxy server" и в окнах редактирования "Address:" и "Port:" выставить нужные параметры. Для конфигурации прокси для каждого протокола в отдельности или блокировки его использования для некоторых адресов ("Do not use proxy server for addresses beginning with:"), по нажатии кнопки "Advanced...", доступен диалог точных настроек. Иногда провайдер предоставляет адрес для автоматической конфигурации браузера. Эта опция доступна на той же странице блокнота на групповой панели "Automatic configuration" по нажатии кнопки "Configure...". После введения URL — кнопка "Refresh" или перезапуск браузера. Для справки: такую возможность я видел только в прокси-серверах арабских стран.

В Netscape Navigator 4.x для этих целей следует пройти по пунктам меню "Edit\ Preferences...", далее узел дерева "Advanced", ветка "Proxies". После активизации ветки "Proxies" появляется группа переключателей, где выбор опции "Manual proxy configuration" дает доступ к кнопке "View" для вызова диалога настроек прокси-серверов, аналогично Explorer. Выбор опции "Automatic proxy configuration" дает доступ к окну редактирования "Configuration location (URL):" для введения адреса и кнопке "Reload" для немедленной активизации.

В браузере Opera для подключения к прокси необходимо пройти по меню "Preferences\ Proxy Servers...".

При настройках необходимо быть внимательным с протоколами. Использование одного прокси для всех протоколов — не лучший, а иногда и ошибочный вариант. Большинство прокси обеспечивают работу только с "HTTP", реже — с "FTP", и совсем несколько — с "Secure" (SSL), и использование одного прокси, не поддерживающего необходимый протокол, ни к чему не приведет — соединение пойдет напрямую, минуя настройки.

На одном компьютере можно иметь до трех и более разных браузеров и каждый из них подключить к разным прокси. Тогда на одном сайте (например, в чате) можно сфальсифицировать присутствие трех человек, вроде находящихся в "разных" местах. В этом был один из секретов моментального "клонирования" "Черного принца" на чате "Русской мафии". Эту методику я рекомендую любителям "метального (виртуального) секса" и "психофашистам(ткам)":).

Netscape Navigator, в отличие от Internet Explorer и Opera, позволяет поставить в цепь два прокси-сервера прямо в настройках. Для этого в поля ввода адреса необходимо ввести составной адрес вместе с номерами портов примерно такого вида: "http://proxy1:Port1//http://proxy2:Port2". "Читаться" (проходиться) прокси будут слева направо, поэтому первый (слева) прокси может быть прозрачным, следующий необходимо ставить анонимный. Или для повышения уровня безопасности поставить в цепь два анонимных. "Совсем пугливым" можно рекомендовать после этого подключиться к анонимайзеру.

Anonymizer

Один из самых простых способов обеспечить "сокрытие следов" при путешествии по Интернету — это воспользоваться услугами сервера "Anonymizer" (www.anonymizer.com). После захода на этот сервер все, что необходимо, — это набирать адрес необходимой страницы в поле "анонимайзера" с подсказкой "http://" и нажимать кнопку "Go". Для тех, кто пользуется бесплатно, страницы будут выдаваться с 30-секундной задержкой. Анонимайзер — это не просто анонимный прокси-сервер, который не только закрывает ваш реальный IP, но и он закрывает от "Java" и "Javascript", "Cookies", предоставляет свои дополнительные собственные сервисы, такие как "URL Encryption" (шифрование адресов) и "Safe Cookies" (безопасные "булочки" — строки ассоциированные с конкретной страницей или сайтом). При доставке страницы он "перерабатывает" ее содержимое, заменяя простой URL (адрес) на составной, по схеме подобной следующей: "http://anon.free.anonymizer.com/http://www.geocities.com/werebad/index.htm", и далее пропускает все через свои фильтры. Причем подвергаются фильтрации даже ссылки на графические файлы. Это видно также в поле браузера "Location". Бесплатно он работает только с протоколом "HTTP", анонимизация протоколов "HTTPS" и "FTP" бесплатно не предоставляется.

Для повышения уровня приватности анонимайзер можно задействовать одновременно с другими прокси.

Уязвимости прокси и уровень безопасности.

  1. Не все прокси не меняют поле идентификации браузера "User Agent", выдающее версию браузера и операционной системы. Поле идентификации можно запросить запущенным из html-документа локально выполняющимся "JavaScript". Для повышения приватности следует отключить поддержку всех активных сценариев, как Ява, так и "Visual Basic Script".
  2. Большинство прокси, в отличие от аномайзеров, не блокируют работу с "Cookies". Поэтому для повышения уровня приватности необходимо или блокировать использование "Cookies" вообще, или специальными программами ставить на них фильтры.
  3. Java-applet или ActiveX, загруженные браузером, могут также пробить брешь в безопасности (например, после запроса "localhost"), ваш реальный IP-адрес. Другими словами, поддержку (загрузку) Java и ActiveX в браузере для повышения уровня безопасности также следует отключить.
  4. Прокси-сервер, работающий по HTTP протоколу, не анонимизирует работу по протоколу HTTPS для обращения к SSL-узлам. Для корректной работы необходимо поставить в настройке "Secure" ("Security") прокси-сервер, работающий с этим протоколом. Ну и, разумеется, лучше использовать браузер с поддержкой 128-битного шифрования.
  5. Многие, даже большинство прокси не анонимны. Провайдер может со временем сделать свой анонимный прокси не анонимным. Поэтому время от времени или перед критической миссией прокси необходимо снова протестировать на анонимность.
В статье за отсутствием места, а честно сказать и желания, я обошел стороной вопросы работы с "SOCKS" или подключением к "Wingate".

Реальная история

Действие происходило осенью 21 октября 1998 года на сайте "Русской мафии". Мне уже было давно пора уходить, я уже сделал то, что хотел, или, скорее, то, что было по моим силам. Меньше месяца оставалось до того момента, когда я навсегда покинул это "ристалище суетности". Я находился в чате и мирно беседовал, когда заметил двух пришельцев, зашедших под никами: "Uri" и "Sirtaca". Первое время они вели себя мирно, но на всякий случай я засек, откуда они "вещают". Оба оказались из Днепропетровска, подключенные к одному и тому же провайдеру, у одного мне даже удалось установить адрес вплоть до номера дома. Но, как сказано в Дхаммападе, "Они порицают сидящего спокойно, они порицают многоречивого и того, кто говорит в меру, порицают они. Нет ничего в мире, чтобы они не порицали", и что-то вызвало неудовольствие в моей мирной беседе с девицами у пришельцев. В мой адрес посыпались угрозы и оскорбления. Мне было лень вступать в какую-либо полемику и я продолжал беседу, игнорируя "flame" (дословно: "пламя", в И-нет сленге означает "наезд", оскорбление), сбросив, "на всякий случай", поддержку "Javascript", "Java", "Cookies" и загрузку "ActiveX". "Суперагенты" Uri и Sirtaca, "оскорбившись в лучших чувствах", "клятвенно заверили", что достанут меня и для этого "начали сканировать порты" сервера "Русской мафии". Радостно сообщив, что нашли открытый 21-й ftp-порт, они еще полчаса продолжали свое сканирование. Наконец, я обратил внимание на их суету: "Я подключился к Техасскому провайдеру в Эль-Пасо, после подключился к питерскому, на котором и висит мафия. Так что сканите хоть до конца моих дней", — кинул я им, переключившись на анонимный прокси-сервер в Финляндии. Тогда, выдав пару комплиментов в мой адрес, мне предложили вступить в переговоры, выдав для этого номер моего ICQ. Я, естественно, отказался, зная уязвимость "этой игрушки для юзеров", дав им бросовый почтовый ящик на "hotmail". Мне пришло два письма: одно с оскорблениями, посланное через "remailer" (сервер анонимной рассылки), другое с реального "аккаунта" с предложением взломать "серьезную сетку". Но мне уже все это было не интересно — через неделю я покинул страну и "слился с фоном" грязных улиц "северной криминальной столицы".

Как-то мне понадобился сайт, содержащий редкую информацию по компьютерной безопасности, но при обращении я получал отказ, хотя "ping" показывал, что сервер работает. Мне удалось зайти на него только через прокси-сервер, размещенный в Мозамбике. Этот факт я до сих пор до конца не понял. По политическим, экономическим, личным или другим мотивам администраторы Интернет-ресурсов могут ограничивать доступ пользователей с других регионов или пользователей с определенным адресом (диапазоном адресов), принадлежность к которым в подавляющем большинстве случаев определяется по IP-адресу. Это подтверждается тем, что, заходив на одни и те же серверы "под разным флагом", я получал отличный content ("содержание"). Часто западные сайты выдают больше информации для своих, ограничивая СНГ-вских пользователей. Когда-то меня позабавило рассматривать Yahoo с южнокорейским, немецким, японским или американским IP. Содержание сайта заметно менялось, особенно баннеры. Так что, прокси могут использоваться не только для сокрытия своего реального адреса, но и доступа к содержимому "для своих", этакого варианта "служебного входа" только применительно к Интернет.

Замечание: если у вас появилась возможность подключаться по "dialup", каждый раз, к новым системам (например, через "blue-box"), так и поступайте. Тогда, для прикрытия, вам не нужен атакующий сервер.

Используйте "blue-box", карточку или "outdial", или что-либо еще. Даже если они доберутся до опорного хоста, они не смогут оттрассировать вас дальше (что, в принципе, очень просто)...

Что касается применения "blue-box", то следует быть осторожным, потому что в Германии и США телефонные компании имеют системы слежения для детектирования абонентов, использующих "blue-box". ATT отслеживает пользователей поддельных кредитных карт и так далее.

Применение системы-посредника для перемаршрутизации ваших телефонных звонков, с одной стороны, усложняет труд по трассировке, но с другой — также увеличивает риск быть схваченным за применение "phone-box". Вопрос "как лучше поступить" остается на ваше усмотрение.

Для пометки еще один пример. В Дании все — все — данные о телефонных звонках сохраняются! И через десять лет после звонка они смогут доказать, что вы подключались к dialup-системе, которая использовалась хакером...

Безопасности телефонной связи я касался, хочу только еще раз всуе помянуть СОРМ. Под давлением писем с вопросами, как действовать, не нарушая "волчий закон", не атакуя ни из дома, ни от друзей, ни рабочего места, я привожу эти элементарные соображения:

Можно заранее, за месяц-два, снять квартиру на подставное лицо, проверить хозяина (я сталкивался со случаями, когда моим друзьям пытались сдать квартиру люди, находившиеся в серьезных неладах с законом), жильцов и окружающую территорию. Желательно, чтобы "зиц-председатель" имел "убойную характеристику" в наркологическом или психоневрологическом диспансере — тогда его показания "будут приниматься к рассмотрению, но не являться доказательством". Или снять гостиничный номер, заранее подготовив в Интернет контейнеры со всем необходимым, выехать в турпоездку в другую страну, захватив с собой ноутбук.

Хотя, с одной стороны, это напрямую касается хакеров и их методов (опыта) работы, но, с другой стороны, мне не хотелось бы превращать компьютерную прессу в место для публикаций инструкций по "обеспечению безопасности (конспирации) активных мероприятий" . Последнее: приведенную выше информацию не стоит пытаться использовать против меня же, я давно работаю по более совершенным схемам и протоколам (алгоритмам). Я публикую только то, что для меня не актуально и не представляет никакой ценности.

Разное

Если вы решили использовать "satan", "iss", "ypx" или "nfs"-сканер файловых дескрипторов, запускайте их на сервере, специально выделенном для этого. Не используйте этот же сервер для реальных подключений по "telnet", "rlogin" и тому подобному к атакуемой системе, пусть он будет только для целей сканирования. Подключайтесь к нему так же, как подключаетесь к шлюзовому серверу.

Есть утилиты, которые, привязываясь к конкретному порту, после установки соединения с этим портом автоматически открывают соединение с другим сервером, другие действуют подобно командной оболочке на системе, так что вы также делаете "telnet" с домена, обслуживающего этот сокет.

Запуская такую программу, вы не пишетесь ни в один журнал протоколирования активности, если только нет фаервола с его журналами регистрации. Много программ для вас могут сделать эту ерунду.

По возможности атакующий сервер и/или шлюзовая машина должны находиться за рубежом!

Потому как, если ваша попытка взлома будет обнаружена и ваш хост будет идентифицирован, большинство администраторов будут склонны прекратить охоту за вами. Даже если "легавые" попытаются трассировать вас через несколько стран, это задержит их как минимум на 2-10 недели...

Заключение: если вы ломаете еще какую-нибудь чушь, а не только университеты действуйте так! Далее вам маленькая картинка для помощи;-).


www.geocities.com/werebad/

(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 46 за 2000 год в рубрике безопасность :: разное

©1997-2024 Компьютерная газета