Вспомните любой зарубежный гангстерский боевик, построенный по всем правилам киноискусства. Как в них осуществляется ограбление банка? Сначала грабители в течение длительного времени изучают все подходы к банку, время его открытия и закрытия, расписание завоза денег и т.д. Потом наступает этап изучения внутренней системы защиты банка, начиная от числа охранников и местах их дислокации, и заканчивая числом и типом камер видеонаблюдения и датчиков охранной сигнализации. Если вспомнить фильм «Настоящая Макой» с Ким Бесинджер в главной роли, то мы увидим, что ограбление банка осуществлялось именно таким образом. Мало того, в фильме было продемонстрировано и несколько других приемов. Например, открытие банковской ячейки, что позволило узнать о структуре системы внутренней безопасности, а также поместить в эту ячейку пистолет.

Также действуют и хакеры, которые сначала собирают подробную информацию о своей жертве и, только потом осуществляют проникновение в систему или выведение ее из строя. Мне можно возразить, что так делают не все. Да, не все. Существует огромнейшая категория пользователей, называющих себя настоящими хакерами, но таковыми не являющимися. Для них даже придуман специальный термин «script kiddies», что означает любителей, использующих готовые средства реализации атак, не понимая сути их действия. Получив какую-либо программу для взлома, они сразу задают в ней адрес своего друга, насолившего им соседа или просто случайного компьютера и приводят ее в действие. Если видимого результата нет, то они переходят к следующему адресу и т.д. На такую удочку попадаются только неискушенные пользователи, не следящие за своей защищенностью.

Но так, как вы и я предполагаем, что против вас действует более-менее квалифицированный злоумышленник, то попробуем встать на его место и посмотреть, какие методы и средства он использует для создания досье на свою жертву, т.е. на вас.

Зачем осуществлять те действия, которые описаны ниже? Ведь по большому счету это долго, нудно и может вообще не принести никакого результата. Но представьте, что в течение трех месяцев вы вникали в английский язык на курсах интенсивного изучения, а после их окончания понимаете, что английский от вас также далек, как и Полярная Звезда. В лучшем случае вы будете разочарованы и будете жалеть потерянное время. Предваряющие атаку действия позволяют понять «стоит ли овчинка выделки» и не делать лишних действий, которые также могут служить лишним доказательством несанкционированной деятельности. Однако такого рода действия (как и все последующие) имеет смысл осуществлять только при наличии четко определенной методики. В противном случае, какие-то детали, на первый взгляд кажущиеся несущественными, могут быть пропущены, что приведет к потере части важной информации. И если для хакеров построение такой методики не считается важным и они не всегда могут найти время на эту работу, то для администраторов – наличие такой методики является обязательной. И в этом есть один плюс – далеко не каждый хакер (исключая профессиональных охотников за корпоративными секретами) захочет тратить продолжительное время на поиск информации, облегчающий взлом системы. Они скорее откажутся от неприступной (на первый взгляд) системы и переключат свое внимание на менее стойкий узел сети.

В различной литературе этому этапу сбора информации уделяется очень мало внимания, несмотря на то, что эффективная работа на этом этапе существенно облегчает жизнь хакера и позволяет составить достаточно полное предварительное досье на свою жертву. И это притом, что практически никаких следов хакер не оставляет, т.к. практически не осуществляет прямого взаимодействия с выбранной компанией. Итак, приступим.

На этапе сбора информации о своей предполагаемой жертве хакер должен получить ответы на следующие вопросы:
1. Имя домена или доменов компании-жертвы.
2. Адреса подсетей, которыми владеет компания-жертва.
3. Точные адреса узлов, находящихся на периметре сети компании-жертвы.
4. Номера телефонов
5. Сервисы, запущенные на определенных выше узлах.
6. Типы операционных систем, запущенных на определенных выше узлах.
7. Роли узлов, находящихся на периметре.
8. Механизмы сетевой безопасности, используемые компанией-жертвой (межсетевые экраны и его правила, фильтрующие маршрутизаторы и списки контроля доступа, системы обнаружения атак и т.д.).
9. Информация о пользователях и группах.
10. Дополнительная информация (сведения о SNMP, таблицы маршрутизации и т.п.).

Ответы на многие приведенные вопросы можно получить не прибегая к сканированию изучаемой системы и не пытаясь получить доступ к ее внутренностям. В этом и опасность описываемых ниже методов. Итак, встанем на место хакера и посмотрим, что он может узнать о вашей компании.

Анализ Web-сайта

Самый первый шаг – посетить Web-сайт своей компании и проанализировать его в поисках информации, которая может заинтересовать злоумышленника. Web-сайт — это очень хорошее место для начала сбора информации. Информация, собранная на сайте, может послужить неплохой основой для дальнейших изысканий. Необходимо заметить, что вы, как сотрудник отдела защиты информации, имеете больше возможностей по доступу к нужной вам информации. Например, вы можете со 100%-ой уверенностью сказать, какая ОС и какое ПО, установлено на вашем сайте. Злоумышленнику же придется приложить некоторые усилия для получения этой информации, хотя это и не составляет большого труда.

Так как каждая организация по-своему реализует сайты — со своими разделами и подразделами, то приведу только несколько наиболее типичных ошибок, которые облегчают злоумышленникам сбор информации о своей жертве.

Информация о компании

На сервере практически любой компании существует раздел «О компании», в котором рассказывается об истории создания компании, вехах в ее развитии, руководстве и т.д. Не редко можно встретить раздел, посвященный корпоративной политике, который облегчает хакерам реализацию атак social engineering. Также в данном разделе могут быть указаны рабочие часы (см. рисунок 16), которые позволяют злоумышленнику реализовывать свои несанкционированные действия в нерабочие часы без боязни быть обнаруженными. Также указание рабочих часов позволяет реализовать social engineering – за 5-10 минут до окончания рабочего дня, когда люди в мыслях давно уже дома, у телевизора с кружкой дымящегося чая и бутербродом с ветчиной, хакер звонит в компанию и задает кучу вопросов, завуалировав один единственный, и являющийся целью звонка. Человек, торопясь поскорее уйти, может ответить на этот вопрос не задумываясь.

Контакты

Информация о контактах также очень важна для злоумышленников. Во-первых, вы можете использовать номера приведенных телефонов для попытки обнаружения модемных входов, которые активизируются в нерабочее время для доступа в Internet (например, для загрузки электронной почты) или для других целей (например, для обновления базы данных консультационно-правовой системы). Такое использование телефонов практикуется в небольших компаниях, не имеющих возможности приобрести выделенный канал доступа в Internet. О другим способах получения списка телефонных номеров мы поговорим ниже.

Фамилии контактных лиц или руководителей отделов, которые помещаются практически на каждом сайте, могут быть использованы для атак social engineering. И, если фамилии и телефоны руководства компании-жертвы и руководителей некоторых других отделов могут присутствовать на сайте, то ФИО руководства службы безопасности является явно лишней. Его знают далеко не все (хотя боятся все) сотрудники фирмы, что дает злоумышленникам широкое поле для деятельности.

Указание контактной информации начальника отдела защиты информации

Вакансии

Данный раздел присутствует практически у любой компании, которая сама ищет себе сотрудников и не пользуется услугами кадровых агентств. Некоторые компании приводят лишь название вакансии с просьбой прислать подробное резюме, а некоторые, — облегчая себе работу, сразу указывают требования к кандидатам, которые иногда показывают направления развития компании и используемые им технологии. Например, на сайте Альфа-банка в ноябре 2001 года было размещено объявление о поиске специалиста по поддержке проекта электронной коммерции со знанием ОС AIX и СУБД DB2. Сообщение такого рода сразу говорит о том, какие информационные технологии использует или планирует использовать банк.

Указание требование к кандидату на прием на работу

Партнеры и региональные офисы

Также на сайтах существуют разделы «Партнеры», «Дочерние компании» или «Региональные офисы». Информация из этих разделов также может быть использована для social engineering, т.к. люди в центральном офисе или компании обычно не знают сотрудников удаленных офисов, что позволяет злоумышленникам маскироваться и выпытывать различную конфиденциальную информацию.

В том случае, если компания имеет региональные представительства, то с высокой долей вероятности все эти территории объединены в единую корпоративную сеть (чем крупнее компания, тем выше эта вероятность). При этом с удаленными филиалами устанавливаются доверенные отношения и требования по контролю доступа из этих офисов существенно ниже, чем при аналогичном доступе, но из Internet. Поэтому можно попытаться взломать удаленный офис и уже из него атаковать головную контору. Это также дает лишний козырь хакеру, т.к. удаленный офис становится базой для реализации атак – промежуточным узлом, который уменьшает шансы сотрудников отдела защиты информации по расследованию инцидента. Ведь чем больше промежуточных узлов использует хакер на пути к своей цели, тем выше вероятность того, что его реальный адрес не будет обнаружен.

Указание ссылок на региональные представительства

Решения

Не редки случаи, когда, с целью привлечения новых клиентов, компании размещают на страницах своих Web-серверов описание применяемых технологий, что также нельзя назвать лучшей идеей с точки зрения безопасности. Нет ничего хуже, чем самим пригласить хакеров в свою сеть, указав им используемые в сети операционные системы, СУБД, способы подключения к Internet и другую важную информацию.

Описание системы защиты

Верхом человеческой глупости является размещение на сайте подробного описания системы защиты корпоративной сети. Я не отрицаю, что размещать информацию о способах защиты информации своих клиентов необходимо. Но надо подходить к решению этой задачи с умом. Например, на сайте Автобанка описываются меры по защите системы «Клиент-Банк». Это описание, с одной стороны дает понять степень защищенности клиентских данных, а с другой стороны не дает злоумышленникам подробных сведений, которые могли бы им дать ключ к защитным дверям.

Краткое описание системы защиты

А вот на сайте Гута-Банка перешли некоторую границу и указали точную информацию о том, какие средства защиты используются для обеспечения информационной безопасности. Я не думаю, что эта информация так нужна клиентам, которые не разбираются не только в конкретных системах защиты информации, но и зачастую не понимают сути используемых в них технологий. Если кому-то вдруг понадобятся эти данные, то их можно получить, обратившись в соответствующее подразделение банка.

Расширенное описание системы защиты

Исходный код страниц

В исходном коде страниц Web-сайта также может содержаться важная, а зачастую конфиденциальная информация. Например, на некоторых сайтах, построенных на основе программного обеспечения MS Internet Information Server и интегрированных с базой данных, в ASP-страницах могут содержаться пароли на доступ к БД или иным важным ресурсам.

Пароль в коде страницы сайта «Перепись-2002»

Анализ исходного текста страниц сайта позволяет сделать вывод о том, какое ПО (для Web-сервера, СУБД, CGI- и Java-сценариев и т.д.) запущено на сайте, а, следовательно, можно сделать вывод об уязвимостях этого Web-сервера и использовать их для реализации атак.

Для получения доступа к исходному коду страниц можно воспользоваться как встроенными средствами браузера Internet Explorer или Netscape, так и специализированными утилитами, например, описываемым ниже Sam Spade’ом.

Исходный текст HTML-страницы предоставляет информацию об используемом ПО

Анализ исходного текста страниц сайта зачастую позволяет если не обнаружить уязвимость, то хотя бы сократить время на реализацию некоторых типов атак. Например, на сервере системы «Телебанк», поддерживаемом Гута-банком, в исходном тексте заглавной страницы дается прямое указание на то, что пароль на вход в систему должен состоять только из цифр, что существенно сужает число подбираемых комбинацией. Вместо 256 теоретически возможных комбинаций для каждого символа пароля, число комбинаций сокращается до 10 (от 0 до 9).

Облегчение подбора пароля на основе информации в исходном тексте HTML-страницы

Анализ программного обеспечения Web-сайта

Раз уж мы анализируем Web-сервер, то можно немного опередить события и проанализировать тип операционной системы, отвечающей за функционирование Web-сайта, а также ПО самого Web-сервера (Apache, IIS, iPlanet и т.д.). Вы, конечно, без проблем сможете узнать эту информацию, однако знать о том, как ее может получить злоумышленник все же необходимо. Интересным ресурсом является
Netcraft, на котором вы можете получить подробную информацию об интересующем вас сайте. Сразу надо отметить, что безоговорочно полагаться на эти данные не стоит – грамотный администратор может так изменить системное ПО, что он будет выдавать результаты, совершенно отличные от реальных. Подтвердить эти сведения вы сможете позже, при сканировании узлов сети с помощью различных методов.

Анализ Web-сайтов IT-компаний

У многих российских компаний или их руководителей очень развит «синдром непризнанного гения», который приводит к тому, что на серверах этих компаний появляется много информации, являющейся бесценной для злоумышленников и, по большему счету, не нужной никому (в том виде, в котором она представлена), кроме самих руководителей или журналистов. Например, очень часто IT-компании помещают на своих страницах сведения о применяемых ими технологиях, что позволяет сузить спектр возможных способов атаки на организации, ставшие заказчиками этих IT-компаний.

Указание используемых технологий

Продолжу примеры. На абсолютном большинстве сайтов российских IT-компаний имеется раздел «Реализованные проекты», «Портфолио» или «Наши заказчики», который содержит список заказчиков, воспользовавшихся услугами этой компании. Это является хорошей рекламой и, зачастую маркетинговые отделы размещают такого рода информацию, не советуясь с отделами защиты информации. Хакеры сопоставляют информацию об используемых технологиях и программных средствах с информацией о заказчиках IT-компании, что существенно облегчает выбор средств реализации атак.

Список заказчиков IT-компании

Ситуация еще больше осложняется, когда информацию об используемых решениях по обеспечению информационной безопасности публикует компания, занимающаяся разработкой или поставкой системы защиты информации. Например, на сайте департамента систем информационной безопасности компании ЛАНИТ приведен список предлагаемых ею продуктов – межсетевых экранов Cisco Secure Pix Firewall, Check Point Firewall-1, CyberGuard Firewall, систем обнаружения атак RealSecure и т.д. Логично предположить, что именно эти средства и используются для защиты корпоративных сетей клиентов ЛАНИТа.

Но это еще полбеды. Существует еще большая опасность. Понимая всю выгоду от предложения своим заказчикам решений по безопасности, компании стали создавать в своей структуре специальные отделы, состоящие из двух-трех сотрудников. Такие отделы стали появляться в России, как грибы после дождя. Чтобы привлечь к себе клиентов, они как можно подробнее освещают свои работы, что, помимо привлечения новых клиентов, наносит ущерб уже имеющимся заказчикам. Например, на Web-сайте компании Элвис+ размещена информация о выигранном ею тендере на проектирование системы защиты информации для ОАО «Иркутскэнерго». На первый взгляд ничего предосудительного в данном пресс-релизе не написано. Но так как сложно предположить, что разработчик межсетевого экрана и средства построения VPN, будет предлагать «не свое», то можно с уверенностью сказать, что в ОАО «Иркутскэнерго» будет использоваться продуктовая линейка «Застава».

Информация о выигранном тендере

Аналогичная информация приведена и на сайтах других отечественных компаний, работающих на рынке информационной безопасности.

Информация о выполненных проектах на сайте компании, занимающейся защитой информации

Продолжу приводить примеры. И вновь отличилась компания Элвис+, которая дала хакерам подробную информацию о программном обеспечении информационно-аналитической системы Банка России, используемой для информационного обеспечения его руководства. Можно долго говорить о том, правомерно размещение такой информации или нет, но для того, чтобы похвастаться о своих достижениях нет необходимости говорить о том, что ИАС Центрального Банка использует ОС Windows NT и СУБД Oracle 7.3.

Подробное описание «внутренностей» сети заказчика

Последний пример также касается компании Элвис+. На страницах ее сайта не просто рассказывается об используемых у одного из заказчиков технологиях и предложенных ему решений по защите. Компания Элвис+ открыто пишет, что она поставила в ГК «АРКО» межсетевой экран Check Point Firewall-1, который функционирует на платформе Sun SPARC под управлением ОС Solaris. Теперь достаточно обратится на какой-нибудь SecurityFocus.com или packetstormsecurity.nl и получить список дыр в данном МСЭ.

Описание сети заказчика

Анализ прессы

Средства массовой информации также являются бесценным источником информации, которая позволяет злоумышленникам собрать досье на свою жертву. Особенно это касается компьютерных журналов и еженедельников, которые предпочитают публиковать не абстрактное описание каких-либо решений, а примеры их внедрений в реальных, желательно крупных, компаниях. Есть даже издания, целиком посвященные таким описаниям. Например,
Enterprise Partner или ComputerReview. Описания реально выполненных проектов публикуют и другие компьютерные и околокомпьютерные издания – «КомпьютерПресс», «Сетевой», «PCWeek/RE», «ComputerWorld Россия» и т.д. Приведу пример. В 17-м номере Enterprise Partner за 2001 год был опубликован материал об истории создания Internet-портала ГУМа с целью ведения online-коммерции. В статье подробно описывалось программное обеспечение, использованное при подключении ГУМа к Internet – ОС, СУБД и т.д.

Существует и более изощренный способ анализа СМИ. Очень часто в различных бизнес-изданиях публикуются статьи (в т.ч. и заказные) о интересующей хакера компании. Нередки в этих журналах и фотографии, иллюстрирующие рассматриваемые в статье темы. Пристальнее изучите такие фотографии. Может быть вы увидите что-то интересное. Например, на фотографии может быть изображен монитор с запущенным программным обеспечением или стойка с сетевым оборудованием, по которым можно судить о применяемых в организации информационных технологиях.

Использование поисковых систем

Поисковые системы являются неоценимым источником информации не только для обычных пользователей сети Internet, но и для хакеров. С помощью как общеизвестных (например, Яndex), так и специализированных (например,
astalavista.box.sk) поисковиков хакеры могут получить подробную информацию не только о различных уязвимостях и новых средствах атаки, но и выбранной жертве. Задав в строке поиска название организации (в т.ч. и адрес интересуемого сервера) или фамилию человека вы получаете большой список ресурсов, на которых встречается искомое слово. Если вы знаете фамилию какого-либо сотрудника в интересующей вас организации, то поищите все ссылки на нее в Internet. Вдруг вы найдете, что-то интересное. Например, хобби и интересы, которые можно использовать, чтобы втесаться в доверие к сотруднику и выпытать у него какие-либо детали внутренностей корпоративной сети.

Данный метод достаточно универсален и может быть использован и для поиска другой информации, которая косвенно имеет отношение к информационной безопасности. Например, с помощью поисковой системы Яndex я обнаружил в сети резюме одного из наших сотрудников, который, не оповестив отдел кадров, стал искать себе новую работу. Написав ему письмо от имени потенциального работодателя, я получил достаточно конфиденциальной информации о структуре сети нашего предприятия.

Каждая поисковая система, а их в российском сегменте Internet предостаточно, имеет свой собственный расширенный язык поисковых запросов, который следует изучить, прежде чем вы начнете поиск. Это позволит вам более точно задать искомый фрагмент и уменьшить число страниц, выдаваемых поисковой системе по вашему запросу.

Анализ ICQ

Система Internet-пейджинга ICQ, а также ряд других, менее известных систем передачи коротких сообщений (например, Odigo, Miranda, Trillian и т.д.), также позволяют получить интересную информацию о своем визави. Разумеется только в том случае, если вы знаете номер (например, UIN для ICQ) интересующего вас человека. Из интересной для хакера информации, система ICQ вам может предоставить адреса электронной почты (в т.ч. и домашние), адрес собственной Internet-странички, IP-адрес, с которого пользователь в последний раз входил в Internet и т.д. Вся эта информация может дать злоумышленнику пищу для размышлений и позволить более точно направить свою атаку. В том числе эта информация может быть использована и для social
engineering. 

Указание ICQ на сайте

По номеру ICQ можно определить IP-адрес, с которого интересующий вас пользователь работает в Интернет. Это может быть корпоративный адрес, а может и домашний. В обоих случаях вы можете на последующих этапах попытаться проникнуть на этот узел и установить над ним полный контроль. Примером утилиты, которая позволяет выудить всю эту информацию является UIN2IP или Advanced ICQ IP Sniffer. Можно провести и обратный анализ. Зная IP-адрес жертвы или диапазон IP-адресов изучаемой компании вы без проблем можете определить все имеющиеся в ней ICQ. Сделать это можно используя утилиту IP2UIN.

Анализ эхоконференций, списков рассылки и групп новостей

Анализ Usenet’овских телеконференций, сообщений FIDO, форумов, чатов и списков рассылки также может являться ценным источником информации, которая может быть использована хакерами для проникновения в корпоративную сеть. Администраторы сетей в таких конференциях очень часто ищут помощи в решении своих насущных проблем и раскрывают перед своими невидимыми собеседниками всю подноготную своей корпоративной сети, включая особенности настройки средств защиты и другого программно-аппаратного обеспечения. Например, в сети FIDO после эпидемии Internet-червя Code Red II появилось множество сообщений, похожих на нижеприведенное (реальный адрес пользователя и его имя изменены).

? RU.NETHACK (2:5020/хххх.х) —  RU.NETHACK —
Msg : 83 of 1233
From : Dmitriy LastName 2:5020/400 Sun 01 Nov 01 08:09
To : All Wed 26 Sep 01 08:38
Subj : по поводу nimda
From: “Dmitriy LastName” <dm@domain.ru>

Добрый день,

В логах IIS 4.0 часто (5-20 раз в сутки) появляется строка
/default.ida?XXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXX XXXXX%u9090%u6858%ucbd3%u
7801%u9090%u6858%ucbd3%u780 1%u9090%u6858%ucbd3%u7801%
u9090%u9090%u8190%u00c3%u00 03%u8b00%u531b%u53ff%u0078% u0000%u00=a

что это значит?
Это не относится к nimda?
(начала появлятся за день до nimda)

Спасибо за внимание,
Дмитрий

— 
Отправлено через сервер Talk.Ru – http://www.talk.ru
— ifmail v.2.15dev5
* Origin: Talk.Ru (2:5020/400)

Опасность таких сообщений в том, что злоумышленник может оставаться полностью невидимым, при этом имея полный доступ ко всем сообщениям интересуемых его конференций.

Вообще, сеть FIDO является достаточно интересным источником информации. В этой сети, которая получила широкое распространение на территории стран бывшего Советского Союза, существует много т.н. эхоконференций, в которых собеседники обмениваются вопросам по различным интересующим их вопросам. Например, эхи RU.NETHACK, RU.CRACK, PVT.VIRII, RU.LINUX, RU.CISCO, RU.SECURITY и т.д.

Даже, если в просматриваемых сообщениях и не описана конфигурация сети, то в них все равно можно найти указание на используемое программно-аппаратное обеспечение, тем самым, облегчая хакеру жизнь и уменьшая время, которые он бы затратил на самостоятельное обнаружение этой информации.

? RU.NETHACK (2:5020/хххх.х) — RU.NETHACK —
Msg : 1582 of 1582
From : LASTNAME ALEXANDR 2:5036/45 Fri 01 Jan 38 22:33
To : Alexandr LastName Mon 26 Nov 01 17:41
Subj : взлом NT
Ответ на письмо написанное в PERSONAL (Адpесованные мне письма).
Здpавствyйте многоyважаемый Alexandr!

26 ноябpя 2001 12:51, Alexandr LastName писал LASTNAME ALEXANDR:

LA>> комп выдать как всегда забыл, комп опечатан и пpосто так залезать
LA>> в
LA>> него не стоит, так-как пpидётся созывать комиссию и потом его

AL> А стаpого админа застpелили на выходе из контоpы ? 🙂 У него
AL> спpашивать не пpобовали ? В отделе кадpов посмотpи его телефон, дом.
AL> адpес. Пиpходи с пивом, быстpее вспомнит. %)

админ в Москве, я в Липецке, я не админ а пpогpаммеp, но всвязи с отсyтствием
админа выполняю обязанности админа, контоpа Сyд.
Так что…

До новых встpеч Alexandr!

… Маленький но злобный.
— GoldED/W32 3.0.1-asa9.1
* Origin: F T N (2:5036/45)

Для поиска информации в теле- и эхоконференциях можно использовать различные поисковые механизмы, главный из которых Google, который позволяет осуществлять одновременный поиск в конференциях Usenet и FIDO. Кроме того, Google в начале 2001 года объявил о приобретении DejaNews и архивная база упомянутого первым поисковика на момент написания книги являлась одной из самых полных. В России поисковым сервером по эхоконференция FIDO является
Talk.ru или FidoOnline.

Посещение конференций

Достаточно редкий, но, тем не менее, эффективный способ получения информации. В последнее время число конференций, семинаров и иных мероприятий растет, как курс доллара в августе 1998 г. Чтобы привлечь побольше участников, устроители приглашают выступать специалистов-практиков, которые готовы поделиться своим практическим опытом обеспечения информационной безопасности. А о чем будет рассказывать начальник отдела защиты информации некоторой организации? Конечно о том, с чем сталкивается постоянно в своей организации. Вот и еще один источник важной информации.

Программа семинара по информационной безопасности

Существует и другая категория конференций, на которых многие компании-интеграторы платят за свое рекламное выступление, в рамках которого они всячески пытаются завлечь в свои сети слушателей. В рамках таких выступлений они не только рассказывают о применяемых ими средствах и технологиях (такие сведения могут подтвердить информацию, полученную с Web-сервера IT-компании), но и приводят примеры реализованных ими проектов (с указанием названия заказчика), что также является хорошим подспорьем в руках опытного злоумышленника. Дабы не быть обвиненным в клевете, я не стану приводить названий известный российских компаний-интеграторов, которые регулярно нарушают соглашения о конфиденциальности, заключенными со своими заказчиками, и «направо и налево» рассказывают о том, как реализована та или иная система защиты. Но таких случаев немало.

Социальный инжиниринг

* Алло!
* Справочная Киевского вокзала слушает.
* У вас заложена бомба.
* !?…

В последние годы телефонные террористы стали нормой нашей жизни и приведенный выше пример телефонного разговора уже мало кого удивляют. Зная, что такое может произойти, люди зачастую даже не задумываются о том, имеется ли какая-нибудь подоплека под таким звонком. Телефонные «шутники» пользуются тем, что абсолютное большинство людей опасаются терактов и поэтому такие «шутники» неистребимы. Но причем тут информационная безопасность? А притом, что аналогичными методами пользуются и хакеры, пытающиеся проникнуть в различные корпоративные сети и украсть какие-либо секреты. Эти методы, получившие название social engineering (на русский язык переводится это плохо, хотя некоторые авторы используют дословный перевод «социальный инжиниринг») и являются темой данной статьи.

Случай первый. В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос:

* С вами говорит администратор сети, Иван. Как вас зовут?
* Оля!..
* Олечка, мы сейчас проводим плановую модификацию программного обеспечения «Операционный день банка». Ты не могла бы назвать мне свой пароль?
* А мне говорили, что чужим нельзя называть свой пароль.
* Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник – Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя наверняка есть дела вечером. К тому же твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?
* Да, согласна.
* Тогда назови свой пароль и все будет ОК.
* Мой пароль olja.
* ОК. Спасибо за помощь.

Случай второй. Пользователи получают письмо от имени службы технической поддержки своего Internet-провайдера со следующим текстом:

«Уважаемый пользователь бесплатной службы электронной почты «ОПАТЕЛЕКОМ»! Вас беспокоит служба технической поддержки сервера mail.domain.ru. В связи с участившимися в последнее время случаями краж паролей у наших пользователей мы просим срочно изменить Ваш существующий пароль на новый – o7gNaFu8. Данный пароль очень трудно подобрать хакерам и ваш почтовый ящик будет в полной безопасности.
Надеемся на Ваше понимание и содействие.
С уважением, служба технической поддержки сервера mail.domain.ru»

Лирическое отступление №1

Каждый из нас имеет струны, за которые стоит только подергать и все, вы размякли, не готовы критически оценивать свои поступки и будете делать все, о чем вас попросит опытный психолог, манипулирующий вами, как кукловод. Не стоит думать, что влиять на ваши поступки может только квалифицированный психолог. Эта наука доступна любому, потратившему на ознакомление с ее азами всего лишь 1-2 часа. Каждый человек имеет болевые точки, поразить которые и есть задача хакера, желающего использовать социальный инжиниринг в своей противоправной деятельности.
При этом, если всех так называемых психокомплексов существует несколько десятков, то тех, которые применяются хакерами, не так уж и много. Перечислю их:

* Страх. Пожалуй, это самый часто используемый и самый опасный психокомплекс человека. Существуют десятки и сотни разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа и боязни сделать что-то не так.

* Любопытство. Помните детскую игру? Вам давали свернутую «раскладушкой» полоску бумаги, на которой было написано «разверни». Вы послушно разворачивали «раскладушку» и в конце бумажки видели фразу «а теперь заверни обратно». Более взрослая, но безопасная шутка заключалась в посылке другу ссылки:
http://sky.chph.ras.ru/~foxy/cl.html, нажав на которую вам приходилось в течение долгого времени нажимать на кнопку OK в появляющихся в броузере окнах. Закрыть броузер стандартными средствами становится невозможным. Приходится «убивать» процесс, что может сказаться на работоспособности других приложений. Более опасные примеры использования любопытства в хакерских целях заключались в создании обманных серверах с заманивающими сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли. А так как обычно пользователи используют один и тот же пароль для доступа и к своему компьютеру и к Internet и к почтовому ящику, то узнав один пароль, с высокой вероятностью вы получали доступ и к другим паролям. Кстати, можно проверить, любопытны ли вы. Допустим, что я вам категорически не рекомендую заходить на страницу
http://chatcenter.virtualave.net/delwin, потому что это очень опасно. Особенно, если вы используете броузер Internet Explorer. Сможете ли вы удержаться от того, чтобы не посмотреть, что находится по этому адресу?

* Жадность. Этот психокомплекс завершает лидирующую тройку, которая может быть использована хакерами в своей зловредной деятельности. Проиллюстрирую его на реальном примере, с которым мне пришлось столкнуться в своей деятельности. У нас был сотрудник, на которого пало подозрение, что он ведет нечестную игру. И действительно, найдя в Internet его резюме, нами было составлено письмо от имени потенциального работодателя, в котором этому человеку было предложено заманчивое предложение. Взамен, мы задали ему несколько завуалированных вопросов о нашей корпоративной сети, ее системе защиты и ряд других, не менее важных вопросов. Нечистоплотный сотрудник, прекрасно понимая всю конфиденциальность этих сведений, предоставил их нам. После получения доказательств нами были сделаны соответствующие оргвыводы.

* Превосходство. Можете ли вы с уверенностью сказать, что вам не знакомо чувство превосходства? Если да, то вы счастливый человек. Немногие могут похвастаться этим. Хакеры нередко использую этот психокомплекс в своих целях. Представьте, что к вам подошел «крутой» специалист, «кидающий пальцы» по какому-либо техническому вопросу. Вы, желая показать свое превосходство, начинаете опровергать его, указывать ему его место и т.д. В результате, в угаре словесного боя, вы можете выболтать что-то важное. И хотя данный метод большинству читателей знаком по шпионским боевикам (например, «Судьба резидента»), он вполне может быть применен и в обычной жизни.

* Великодушие и жалось. Эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны жалость и великодушие. К вам может обратиться красивая девушка (кстати, эротический психокомлекс является одним из самых опасных – на него «ведутся» даже профессионалы) и, протягивая дискету, попросить помочь ей распечатать какой-то файл. Вы, по простоте душевной, вставляете эту дискету в свой компьютер и… получаете целый набор троянских коней, которые, активизируясь, начинают красть у вас пароли, финансовые отчеты и другую конфиденциальную информацию.

* Доверчивость. Людям свойственно надеяться на лучшее и верить, что именно ИХ никто не обманет. Именно этот психокомплекс использовался при организации пирамид «МММ», «Русский Дом Селенга» и т.д. И он же с успехом может применяться в IT-области. Например, 25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз. Грамотно составленное письмо внушает к нему доверие, особенно если адрес отправителя соответствует человеку, подпись которого стоит под письмом.

Копание в мусоре

Если вы еще не купили уничтожитель бумаг, то пора, наконец-то, сделать это. Иначе ваши схемы сети, описания системы защиты, политика доступа в Internet и другие, не менее ценные документы окажутся в руках хакера. Может показаться, что это только в западных фильмах хакеры, порывшись в контейнере для мусора, находят дискеты, распечатки и другие носители важной информации. Но это не так. Если у вас есть использованная бумага, то куда-то же она исчезает из вашей мусорной корзины (прошу не путать с Recycle Bin на вашем компьютере)? А если вы не обладаете уничтожителем бумаг или мусоросжигателем, то скорее всего ваш мусор оказывается там же, где и у всех – на обычной свалке, которую не охраняет человек с ружьем (прошу не путать с замечательным спектаклем театра им. Е. Вахтангова). А значит злоумышленник, играющий против вас может тоже копаться в этом мусоре и даже если он, потратив несколько дней и испачкавшись в грязи, сможет получить карту вашей сети (network map), то он не зря провел время среди нечистот и нищих. Кстати, в России копаться в мусоре намного проще, чем в других странах. Все настолько привыкли к бомжам, что никого не удивляет, когда кто-то копается в мусорных корзинах, контейнерах и урнах. Конечно вы можете и не копаться в мусоре, но знать о такой возможности вы должны обязательно.

Моделирование ситуации

Хакеры (особенно имеющие немалые средства и достаточно время) нередко создают работающий стенд, моделирующий фрагмент системы, выбранной в качестве мишени. Можно поступить как они и создать такой стенд у себя. Если нет возможности закупить достаточно число компьютеров, то можно использовать Mobile Rack или установку программного обеспечения на различные разделы (рекомендую отечественную разработку Acronis OS Selector). Удобной является программа Ghost компании Symantec, которая предназначена для создания и быстрого развертывания образов систем (с установленным и настроенным ПО) с эталонных копий, которые могут храниться на жестком диске (в сжатом виде) или на CD.

Анализ программного обеспечения

Получить общесистемное программное обеспечение, такое как операционная система, Web-сервер, СУБД и т.д. не составляет большого труда. Достаточно обратиться на сайт производителя и загрузить к себе дистрибутив или получить его на CD по почте. Можно поступить и еще проще – на любом компьютерном развале и в любой палатке можно купить практически весь спектр распространенного программного обеспечения.

Со средствами защиты, на первый взгляд, ситуации намного сложнее. Но это только на первый взгляд. Если говорить о зарубежном софте, то его тоже можно найти в Internet или на лотках. Хотя и встречается оно намного реже. Отечественные разработки в области защиты информации на пиратских CD не выпускаются. Но и здесь неоценимую помощь несет Internet. На некоторых серверах вы можете скачать демо-версию системы защиты, зарегистрировавшись под вымышленным именем. Мало того, вы можете получить это ПО на различных семинарах и выставках, на которых раздаются компакт-диски. Можно сыграть на менталитете отечественного производителя и заставить его выслать вам нужное ПО, а также документацию и сопутствующие документы, всего лишь сказав, что вы представитель крупного заказчика (например, Банка России), желающего приобрести соответствующую систему защиты. Можно попросить и своего знакомого, работающего в каком-либо банке и т.д. Как видите, путей получения даже, на первый взгляд, закрытых разработок достаточно.

При анализе программного обеспечения, не забывайте обращать внимание на документацию к нему. Она может содержать различные интересные сведения, начиная от сообщений об ошибках и заканчивая встроенными учетными записями и паролями «по умолчанию». Такие руководства помогут лучше понять систему, выбранную в качестве мишени, а также при необходимости выдать себя за ее администратора.

Обучение, как изучение жертвы

Обучение различным вопросам, связанным с деятельностью жертвы, также может помочь хакеру приблизиться к своей цели. На таких семинарах и тренингах, зачастую проводимых самой компанией-жертвой, раскрываются те или иные особенности, которые невозможно почерпнуть из других источников. Например, на семинаре вы можете услышать о паролях на доступ к атакуемой системе, заданных по умолчанию, или поработать с оборудованием, «вырванным» из реальной сети на время проведения семинара. Это бесценная возможность не только увидеть настройки реально работающей сети, но и, по возможности, внедрить какую-либо программу, выполняющую «троянские» функции. Если бы вы были не администратором, маскирующимся под хакера, а настоящим злоумышленником, то вы бы не преминули воспользоваться такой возможностью. Если такой семинар проводится вашей компанией, то вы можете присутствовать на нем в качестве рядового слушателя, который смотрит на все «со стороны», анализируя и сопоставляя различные сведения, преподносимые преподавателем слушателям.

Доступ к базе RIPN

Существует еще один источник информации, который предоставляет бесценные сведения для отечественного злоумышленника. Это база Российского Научно-Исследовательского Института Развития Общественных Сетей (RIPN), который расположен по адресу:
http://www.ripn.net, и в которой хранятся различные сведения о зарегистрированных в российском сегменте Internet (домен RU и SU) доменах и организациях, ими владеющих. Практически любой сервер, имеющий выход в Internet, имеет доменное имя. Это существенно облегчает работу и позволяет не запоминать и не записывать на бумажке группы непонятных цифр, характеризующих IP-адрес узла. При регистрации какого-либо домена задается различная информация о нем, включая адреса обслуживающих его DNS-серверов, контактные адреса его администраторов, адреса и телефоны компании-владельца и т.д. Например, WHOIS-запрос информации о домене r-style.ru предоставляет нам следующие данные:

WHOIS-запрос к базе RIPN

domain: R-STYLE.RU
type: CORPORATE
escry: Corporate domain for R-Style Joint Stock Company
admin-o: RSTYLE-ORG-RIPN
nserver: ns.r-style.ru. 195.239.46.20
nserver: ns.sovam.com. 
created: 1996.12.14
state: Delegated till 2002.01.01
changed: 2001.09.25
mnt-by: R-STYLE-JSC-MNT-RIPN
source: RIPN

org: R-Style Joint Stock Company
nic-hdl: RSTYLE-ORG-RIPN
admin-c: PM-RIPN
admin-c: WAX-RIPN
bill-c: PM-RIPN
phone: +7 095 9041001
fax-no: +7 095 9046830
email: postmaster@r-style.ru
changed: 2001.09.25
mnt-by: R-STYLE-JSC-MNT-RIPN
state: RIPN NCC check completed OK
source: RIPN

person: Peter V Markov
nic-hdl: PM-RIPN
address: R-Style Joint Stock Company
address: Russia, 127273 Moscow,
address: Dekabristov, 38/1
phone: +7 095 9040266
fax-no: +7 095 9046816
email: markov@hq.r-style.ru
changed: 2001.09.27
mnt-by: R-STYLE-JSC-MNT-RIPN
source: RIPN

person: Kir V Marushkin
nic-hdl: WAX-RIPN
address: R-Style Joint Stock Company
address: Russia, 127273 Moscow,
address: Dekabristov, 38/1
phone: +7 095 9041001
fax-no: +7 095 9041066
email: kir@hq.r-style.ru
changed: 1999.06.23
mnt-by: WAX-MNT-RIPN
source: RIPN

Все ли эти данные нужно отображать всем желающим? Нет и еще раз нет. Такая подробность влечет за собой повышение вероятности атаки, а также дает возможность злоумышленнику реализовать social engineering (например, используя контактные адреса администраторов). Телефоны и адрес компании, владеющей доменом, может также использоваться для обращения в нее с целью получения какой-либо конфиденциальной информации. Живи мы за границей, то телефонные номера позволили бы нам попробовать отыскать модемный вход в корпоративную сеть, в обход средств периметровой защиты. Однако в России телефонные номера выдаются беспорядочным образом, что затрудняет работу злоумышленника. Адреса электронной почты могут дать нам подсказку о том, существует ли в организации унифицированный формат адресов электронной почты. Например, в виде ivan.ivanov@domain.ru или Otikhonova@domain.ru. Более правильным выглядит указание только действительно необходимой информации и скрытие остальной информации от посторонних глаз.

Помимо непосредственного доступа к серверу RIPN, можно использовать и специальное программное обеспечение, которое облегчает задание WHOIS-запросов к различным сетевым информационным центрам (Network Information Center, NIC). Можно не только воспользоваться командой whois в большинстве Unix, но и использовать красиво оформленные и удобные в работе графические утилиты. Например, «старый, добрый» Sam Spade для Windows, который помимо функции WHOIS-запросов включает в себя и еще ряд необходимых в жизни утилит – ping, nslookup, dig, traceroute, finger и др.

Многофункциональная утилита Sam Spade

Зачастую отечественные компании регистрируют свой узел не в домене RU, а в домене COM, считая, что тем самым они повышают свой рейтинг в глазах других компаний. Может быть и другая причина – российская компания ведет бизнес на Западе, например, как это делает нефтяная компания ЛУКОЙЛ. Для того чтобы найти информацию о домене в зонах COM, а также ARPA, BIZ, EDU, INFO, INT, NET и ORG необходимо обращаться к серверу InterNIC (http://www.internic.net/whois.html). Если интересующий вас сервер не относится к указанным доменам (это утверждение верно, например, для стран бывшего СССР), то можно обратиться к сайту http://www.allwhois.com/, который позволит вам получить информацию о доменах в зонах GE (Грузия), UA (Украина), BY (Белоруссия), KZ (Казахстан) и т.д. Необходимо заметить, что в мае 2001 года РосНИИРОС, являющийся единственным официальным регистратором доменных имен в зоне RU, объявил о том, что он прекращает регистрацию доменов в этой зоне и делегировании указанных полномочий АНО «Региональный Сетевой Информационный Центр» (http://www.nic.ru/).

Сайт «Регионального Сетевого Информационного Центра»

Анализ DNS-серверов

Информация, выданная по запросу WHOIS, дает вам еще один немаловажный источник – адреса DNS-серверов, главная задача которых осуществлять сопоставление доменного имени и принадлежащего ему IP-адреса или адресов. Однако, некорректная конфигурация DNS-серверов, которая встречается на каждом шагу, приводит к тому, что злоумышленники могут получить важную информацию, которая может быть использована для сужения возможных атак на выбранную жертву. Также как и WHOIS-запросы, обращения к DNS-серверам возможно осуществлять как с помощью встроенных в операционную систему команд (например, nslookup), так и с помощью графических утилит, облегчающих работу с многочисленными DNS-серверами и их ответами.

Например, с помощью утилиты nslookup можно задать следующие команды о корпоративной сети компании R-Style, whois-запрос о которой был продемонстрирован выше:

> server 195.239.46.20
Default Server: ns1.r-style.ru
Address: 195.239.46.20

> set type=any
> ls –d r-style.ru

Однако можно и не заниматься такой рутинной работой, — это удел корифеев Unix’а, которые не смыслят себя без командной строки. Можно использовать хорошее себя зарекомендовавшие утилиты. Примером такого ПО является Advanced DIG – аналог команды dig, включенной в некоторые клоны Unix, и являющейся аналогом команды nslookup. Эта утилита, пример работы которой показан ниже, функционирует под управлением ОС Windows 9x/NT/2000 и позволяет из графического интерфейса обращаться к различным серверам доменных имен с запросом интересующей информации, в т.ч. и выполняя сортировку по различным типам DNS-записей (A, MX, NS, HINFO и т.д.).

Результат работы утилиты Advanced DIG

Интерес представляют как IP-адреса узлов, доступных со стороны сети Internet, так и названия узлов, которые позволяют судить о роли того или иного узла. Например, mail.domain.ru или mailsrv.domain.ru – это почтовый сервер, web.domain.ru – Web-сервер, router.domain.ru – периметровый маршрутизатор, fw.domain.ru или fire.domain.ru – межсетевой экран, ns.domain.ru – DNS-сервер и т.д. Мало того, зачастую имя дает еще большую информацию. Например, на приведенном выше изображении указано имя одного из узлов – nt-mail.r-style.ru. Это говорит о том, что данный сервер выполняет роль почтового узла и вероятнее всего управляется системой NT Mail (или работает под управлением ОС Windows NT), что уже немало, т.к. сразу показывает злоумышленнику направление для приложения своих «несанкционированных» сил.

Заключение

Помимо двух названных средств Sam Spade и Advanced DIG существует огромное множество других инструментов. Большая часть из них реализует только одну из рассматриваемых функций (запрос зоны DNS, WHOIS-запрос и т.п.), а меньшая – реализует сразу несколько механизмов. При этом рекомендовать что-то одно очень трудно. Каждый пользователь имеет свои предпочтения. Поэтому приведу еще несколько ссылок на утилиты, используемые для предварительного сбора информации. Данные продукты функционируют на платформе Windows (9x/NT/200/XP). Выбор данной платформы вызван тем, что, как правило, сотрудники отделов защиты информации используют программные решения именно компании Microsoft, т.к. они удобнее в использовании и не требуют глубоких знаний операционной системы, как это бывает для ОС Unix (хотя такие знания не помешают).

* CyberKit – Ping, Traceroute, NSLookup, Whois, Finger, Time, Quote of Day, NetScanner, DBScanner;

* WS_Ping ProPack – Ping, Traceroute, Troughhput, NSLookup, Host Info, Whois, Finger, SNMP, Scan, WinNet, LDAP, Time, Quote of Day;

* NetScanTools – Ping, Traceroute, NSLookup, Whois, Finger, Time, Quote of Day, NetScanner, Port Probe, NetBIOS Info, WinSock Info, DBScanner;

Помимо средств, которые могут быть установлены и запущены на вашем компьютере, существует и Web-ориентированные утилиты, которые выполняют аналогичные функции, но их не надо устанавливать на свой компьютер, что позволяет не бояться привнесения в свою сеть троянцев и других опасных программ. К таким утилитам можно отнести:

Выводы

Необходимо заметить, что данная статья описывает очень специфические методы, главное отличие которых от всех остальных – невозможность их обнаружения средствами защиты информации. Как можно обнаружить события, которые непосредственно не затрагивают избранную жертву? Никак. Однако знать об этих методах необходимо. Это позволит не только лучше понять психологию и методологию хакеров, но и использовать эти знания в своей деятельности для введения злоумышленников в заблуждение.

Оставить мнение

Check Also

Хакер ищет авторов. Читатель? Хакер? Программист? Безопасник? Мы тебе рады!

Восемнадцать лет мы делаем лучшее во всем русскоязычном пространстве издание по IT и инфор…