Методы хакеров

Выявление методов направленных хакерских атак

Хакер, использующий методы направленных атак, пытается проникнуть в конкретную организацию или нанести ей ущерб. Мотивацией его действий является стремление получить от организации информацию определенного типа. Он стремится причинить вред несколькими способами, используя для этого направленные DoS-атаки. Уровень мастерства таких хакеров выше, чем у тех злоумышленников, которые не имеют определенных целей.

Объекты атак

Выбор объекта атаки обычно обоснован - это информация, представляющая интерес для хакера. Хакера может нанять сторонняя организация для получения некоторых сведений. Независимо от причины, объектом атаки становится конкретная организация (не обязательно ее внутренняя система).

Предварительное исследование

В направленных хакерских атаках производится физическая разведка, а также предварительное исследование адресов, телефонных номеров, системы, сферы деятельности.

Предварительное исследование адресов

В процессе предварительного исследования адресов выявляется адресное пространство, используемое в организации. Эту информацию можно найти во многих местах. В первую очередь, служба DNS позволяет определить адреса веб-серверов организации: адрес главного DNS-сервера в домене и адрес почтового сервера. Отыскать нужные адреса можно с помощью Американского реестра номеров интернета (American Registry of Internet Numbers, ARIN) (http://www.arin.net/). В ARIN возможен поиск по имени для нахождения адресных блоков, назначенных данной организации.

Дополнительные доменные имена, назначенные организации, имеются в Network Solutions (теперь часть VeriSign) (http://www.networksolutions.com/). Для каждого найденного домена с помощью службы DNS определяются дополнительный веб-сервер, почтовый сервер и диапазон адресов. Поиск этой информации не привлекает внимания целевой системы.

Много информации об используемых адресах даст зонная передача от главного DNS-сервера домена. Если сервер позволяет осуществлять такую передачу, то в результате возможно получение списка всех известных ему систем домена. Это весьма ценная информация, но такой подход может обратить на себя внимание целевой системы. Правильно настроенные DNS-серверы ограничивают зонную передачу. В этом случае попытка получения информации заносится в журнал событий и выявляется администратором

Используя все вышеперечисленные способы, хакер получает список доменов, назначенных организации, адреса всех веб-серверов, почтовых серверов и главных серверов, список диапазонов адресов и, потенциально, список всех используемых адресов. Большую часть этой информации он найдет, не вступая в непосредственный контакт с организацией-жертвой.

Предварительное исследование телефонных номеров

Предварительное исследование телефонных номеров выполнить сложнее, чем отыскать сетевые адреса. Узнать главный номер организации можно в справочной либо на веб-сайте, поскольку организации публикуют там свои контактные телефоны и номера факсов.

После получения телефонных номеров хакер ищет работающие модемы, воспользовавшись программой типа "wardialer". Приблизительно определив блок телефонных номеров, используемых организацией, он начинает дозвон по этим номерам. Однако такая деятельность не останется незамеченной, так как будут прозваниваться многие офисные номера. Поэтому хакер постарается выполнить это в нерабочее время или в выходные дни, чтобы уменьшить вероятность обнаружения.

Осложняет работу то обстоятельство, что он не знает номера наверняка. В результате у него на руках могут оказаться модемные подключения других организаций, которые в данный момент ему не очень-то нужны.

В конце концов, хакер получит список номеров с отвечающим модемом. Возможно, он пригодится ему, а возможно, и нет. Хакеру предстоит проделать большую работу для сбора необходимой информации.

Предварительное исследование беспроводных сетей

Хакер проверит близлежащий район (автомобильные стоянки, другие этажи здания, улицу) на предмет наличия беспроводных сетей. Эту разведку он выполнит без особых усилий, прогуливаясь вокруг здания или проезжая на автомобиле. В большинстве случаев его попытки подключения к беспроводной сети не будут зарегистрированы

Примечание

Выполняя такое исследование, хакер должен физически находиться рядом с целевым объектом.

Предварительное исследование системы

Предварительное исследование систем представляет потенциальную опасность для хакера, но не с точки зрения задержания и ареста, а с точки зрения привлечения внимания. В процессе сбора данных хакер определяет используемое оборудование, операционные системы и их уязвимые места.

Хакер применяет развернутую отправку пинг-пакетов, скрытое сканирование или сканирование портов. Если он хочет остаться "в тени", то будет выполнять все очень медленно - один пинг-пакет по одному адресу примерно каждый час. Такая деятельность останется незамеченной для большинства администраторов.

Сканирование для определения операционных систем скрыть труднее, так как сигнатуры пакетов большинства инструментальных средств хорошо известны, и системы обнаружения вторжений (Intrusion Detection Systems, IDS) с большой степенью вероятности выявят эти попытки. Хакер может отказаться от использования известных инструментов и применит скрытое сканирование портов. Если система отвечает через порт 139 (NetBIOS RPC), то это, вероятно, Windows (NT, 2000, XP, 95 или 98), если через порт 111 (Sun RPC/portmapper) - то это система Unix. Почтовые системы и веб-серверы выявляются через подключение к определенным портам (25 - для почты, 80 - для веб) и исследование ответа. В большинстве случаев можно узнать тип используемого программного обеспечения и, следовательно, операционную систему. Такие подключения выглядят вполне легальными, не привлекая внимания администраторов или систем IDS.

Выявление уязвимых мест представляет для хакера серьезную опасность. Это можно сделать, осуществляя атаки или исследуя систему на наличие уязвимости. Одним из способов является проверка номера версии популярного программного обеспечения, например, почтового сервера или DNS-сервера, которая и подскажет известные уязвимые места

Если хакер воспользуется сканером уязвимых мест, то он с большой долей вероятности вызовет сигнал тревоги в системе обнаружения вторжений. Один сканер поможет хакеру отыскать единственную "прореху", другой выявит большее количество уязвимых мест. Независимо от используемого инструмента, хакер соберет нужную информацию, но, скорее всего, его присутствие будет замечено.

Предварительное исследование сферы деятельности

Понимание сферы деятельности организации очень важно для хакера. Он должен знать, как используются компьютерные системы, где размещена ценная информация и аппаратура. Эти знания помогут ему определить место расположения вероятной цели. Например, если сайт электронной коммерции вместо обработки транзакций владельцев кредитных карт отправляет покупателей на сайт банка, это означает, что на целевой системе не хранятся номера кредитных карт.

При проведении предварительного исследования хакер постарается выяснить, каким способом можно максимально навредить системе. Производителю, на единственной ЭВМ которого хранятся все производственные планы и материальные заказы, можно нанести серьезный ущерб выводом этой ЭВМ из строя. Именно эта ЭВМ станет главной целью для хакера, желающего максимально навредить этому производителю.

Частью бизнес-модели любой организации является размещение служащих и порядок осуществления ими своих функций. Организации, располагающиеся в одном помещении, способны обеспечить периметр безопасности вокруг всех важных систем. В организациях с множеством подразделений, связанных через интернет или выделенные каналы, может быть надежно защищена основная сеть, но слабо - удаленные офисы. Уязвимыми становятся организации, разрешающие служащим выполнять удаленное подключение. В этом случае домашние компьютеры сотрудников используют виртуальные частные сети для подключения к внутренней сети организации. Самым простым способом получения доступа в организацию в этом случае станет взлом одной из домашних систем.

И последним этапом разведки является сбор информации о служащих. Многие организации размещают информацию о руководителях на своем веб-сайте. Такая информация представляет большую ценность, если хакер задумает воспользоваться методами социального инжиниринга. Дополнительную информацию даст поиск в интернете по имени домена организации. Таким способом можно получить адреса электронной почты служащих, размещающих в интернете группы новостей, или список почтовых адресов. Зачастую в адресах электронной почты сотрудников содержатся идентификаторы пользователей.

Физические методы сбора данных

Физические методы сбора данных в основном используются в направленных хакерских атаках. Зачастую они позволяют получить доступ к нужной информации или компьютеру без реального взлома системы компьютерной безопасности организации.

Хакер ведет наблюдение за зданием, в котором размещается организация. Он изучает компоненты физической безопасности: устройства контроля доступа, камеры наблюдения и службу охраны. Он наблюдает за тем, как входят посетители, как выходят служащие во время перерыва. Такое наблюдение позволяет выявить слабые стороны системы физической безопасности, которые можно использовать для проникновения в здание.

Хакер проследит и за тем, как обращаются с мусором и выброшенными документами. Если все это складывается в мусорный бак позади здания, то он может ночью порыться в нем и найти интересующую информацию.