|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
X |
|
|
|
|
|
|
|||
- |
|
|
|
|
|
d |
|
|
||
F |
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
i |
|
для хакера |
ИнтернетP |
||||||||||
D |
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
NOW! |
o |
|
|||
|
|
|
|
BUY |
|
|
|
|||
|
|
|
|
|
|
.cКак скрываются хакеры |
||||
5.9.. |
||||||||||
w Click |
to |
|
|
|
|
|
m |
|
||
w |
|
|
|
|
|
|
|
|
|
|
w |
p |
|
|
|
|
g |
o |
|
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
P |
|
|
|
|
|
|
|
|
|
i |
|
D |
|
|
|
|
|
247 |
|||||
|
|
|
|
|
|
|
|
|
r |
||
|
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||
|
|
|
|
-x cha |
|
|
|
|
|
||
Естественное желание хакера — остаться незамеченным, и в основу любого действия положены принципы анонимности, которые мы рассматривали (см. разд. 5.4 и 5.5). Злоумышленники маскируют свой реальный IP-адрес большими цепочками прокси-серверов, а наиболее опытные — привлекают компьютеры рабов (серверы, взломанные в Интернете с целью дальнейшего использования), устанавливая VPN. Такие взломщики находят компьютер-раб, к которому, как правило, имеют полный доступ, и могут уничтожить на нем всю компрометирующую информацию (журналы безопасности).
Что происходит, когда взломщики проникают в систему? Все зависит от преследуемой цели. Если это разрушение, то сокрытию следов отводится не самая важная роль. Если же цель заключается в незаметном присутствии и использовании чужого мощного сервера — это совсем другое дело.
5.9.1. На долгий срок
Если хакер стремится захватить систему на длительный срок, то он создает потайную дверь, через которую можно будет в любой момент незаметно войти и выполнять необходимые действия. Каждый раз использовать уязвимость слишком накладно и заметно. Лучше иметь что-то более завуалированное.
Проникнув в систему, хакеры чаще всего открывают на каком-нибудь порту Shell (оболочку, которая позволяет выполнять в системе команды) или забрасывают троянскую программу. Администраторы, к сожалению, очень редко проверяют открытые порты в своих системах, особенно с номерами более 10 000, потому что это не очень интересное занятие.
В случае с Windows большинство троянских и backdoor-программ определяются с помощью антивируса. Достаточно просто поставить такой антивирус и уже можно более менее спать спокойно. Для Linux антивирусы, вроде бы, есть (что-то выпускал, кажется, Касперский), но их почему-то не ставят. Я не видел ни одного линуксоида, который поставил бы на свой сервер антивирус.
Оригинальным решением является поднятие прав отдельной учетной записи. Администраторы опять же не следят за уже существующими записями и быстро реагируют только на добавление новых. Например, если гостевой записи разрешить чтение/запись системного каталога, то большинство администраторов заметят такие изменения не сразу, а некоторые вообще никогда не увидят.
Расширение прав для гостевой записи я привел только в качестве примера. Если у вас будет выбор, то отдайте предпочтение чему-нибудь более незаметному (например, аккаунту рядового бухгалтера или экономиста). Гостевая учетная запись редактируется достаточно часто и находится под бóльшим присмотром, чем записи рядовых сотрудников сети.
Чтобы хакер остался незаметным, он может попытстья чистить журналы. Раньше это было серьезной проблемой, и даже появились решения, которые позволяли
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|||||
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
|||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
|
F |
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
t |
|
|||||
|
D |
|
|
|
|
|
|
|
|
o |
P |
D |
|
|
|
|
|
|
|
|
o |
|||
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
r |
|||||
|
248P |
|
|
|
|
|
|
|
|
|
|
|
|
Глава 5 |
||||||||||
|
|
|
|
to |
BUY |
NOW! |
|
|
|
|
|
|
|
|
to |
BUY |
NOW! |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
wдублировать записи журнала на удаленном сервере. Каждая запись сохранялась не |
||||||||||||||||||||||||
w Click |
|
|
|
|
|
|
|
o |
m |
w Click |
|
|
|
|
|
o |
m |
|||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
|
.c |
|
||||||
|
|
p |
|
|
|
|
|
e |
|
|
|
|
p |
|
|
|
|
|
e |
|
||||
|
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
g |
|
|
|
|||
|
толькоdf n |
в локальном файле, но и удаленно. Даже если хакер получал доступdf |
к nло- |
|||||||||||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
||||
кальному компьютеру и чистил лог-файлы, данные на удаленной машине позволя- ли восстановить картину взлома.
Чистка журнала — это основа, которая позволяет хакеру остаться незамеченным. Как бы злоумышленник не прятал свой IP-адрес, его смогут найти (или хотя бы будут искать), если станет известно, что в систему кто-то проник. Если администратор не заметит, что его сервер взломали, то никто и не будет заниматься поисками злоумышленника. А если заметит, то начнется розыск, но при очищенном журнале вероятность положительного результата падает до 0, потому что главный источник определения активности хакера уничтожен. Именно поэтому злоумышленники стараются затереть все следы своего присутствия в системе.
Кратковременные вторжения мало кто заметит, поэтому не стоит забивать себе голову лишними проблемами, а лучше позаботиться о скрытии своего IP-адреса. Без этого параметра журнал транзакций не сильно поможет администратору и спецслужбам, а в случае редких и непродолжительных вторжений найти вторгающегося очень сложно.
Чем мне нравится журналирование Windows, так это тем, что здесь после очистки в журнале появляется запись, в которой показано, кто производил очистку. По этой записи можно сразу определить, какую учетную запись захватил хакер. Или с вашим компьютером поиграл шутник-коллега. В любом случае очистка журнала Windows должна настораживать.
5.9.2. Коротко и ясно
Если целью хакера было кратковременное вторжение для выполнения определенных действий (например, удаление или воровство файлов), то, выполнив нужные операции, он по возможности уничтожает все следы своего пребывания (чистит журналы безопасности) и навсегда выходит из системы. Такие хакеры наиболее опасны, потому что если им не удается замести следы, то они могут очистить или отформатировать весь диск. Как говорится, после меня хоть потоп.
На многих серверах стоят системы зеркалирования журналов. Тогда информация об активности сервера и пользователях попадает не только в системный, но и резервный журнал, который может быть хорошо спрятан. В таких случаях хакеры в панике могут испортить весь диск, но это бесполезно. Резервная копия журнала чаще всего защищена, и если не уничтожить ее, то мошенника смогут найти по записям в этом журнале. Первым делом нужно очистить именно резервную копию, а потом уже основной журнал.
Некоторые взломщики, которые преследуют только цель уничтожения, не обращают внимания на системы журналирования, а перед выходом из системы просто уничтожают информацию. Благо, что таких хакеров не много. Большинство понимает, что хороший администратор сделает все необходимое, чтобы найти злоумышленника, и лучше остаться незамеченным, чем проявить себя неосмотрительными действиями.
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|||||
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
||||
- |
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
|
||||||
F |
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||||
|
|
|
|
|
|
|
|
i |
|
для хакера |
P |
|
|
|
|
|
|
|
|
|
i |
|
|
|
ИнтернетP |
D |
|
|
|
|
|
249 |
|||||||||||||||||
D |
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
|
|
|
|
|
NOW! |
|
o |
|
|
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
to |
BUY |
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
wЧем меньше хакер находится в системе, тем сложнее его потом найти.wПри дли- |
||||||||||||||||||||||||
w Click |
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
|
m |
|||||
тельномdf n |
пребывании злоумышленник вольно или невольно оставляет много dследовf n |
, |
||||||||||||||||||||||
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
|
g |
.c |
|
|
|||||
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
||
|
|
|
-xcha |
e |
|
|
|
|
|
|
|
-x cha |
|
e |
|
|
||||||||
даже если просто просматривает содержимое сервера и ничего не изменяет. |
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
5.9.3. Скрываться бесполезно
Если вы съели в магазине конфетку, то вас, скорее всего, не будут разыскивать. Тратить деньги налогоплательщиков на поиск мелкого жулика — просто сумасшествие. Но если вы украли чертежи секретной военной установки, то, поверьте мне, правительство задействует все возможные ресурсы на то, чтобы найти вас.
Достаточно посмотреть на сайт WikiLeaks, владелец которого вроде бы и не ломал ничего, но выкладывал секретные документы. И тут же против него придумали дело про каких-то шведских девушек и моментально арестовали. В момент написания этих строк владелец проета WikiLeaks вроде бы находится на свободе, но что-то его секретные материалы уже не так шумят или он перестал их выкладывать.
Точно так же и со взломом. Простую замену главной страницы сервера маленькой компании оставят без внимания. Но если это было воровство денег из банка или вторжение в военные/правительственные сети, то вас обязательно будут искать всеми возможными способами и, скорее всего, найдут. До сих пор находили даже очень профессиональных хакеров.
Некоторые хакеры считают, что, зашифровав жесткий диск, они обезопасят себя, и правоохранительные органы не смогут найти доказательств. Это заблуждение. Допустим, что вы закрыли украденные вещи в квартире за семью замками. Можно считать, что вы в безопасности? Конечно же, нет. Получив разрешение на обыск, сотрудники полиции могут потребовать ключи или взломают замки. Любые усилия воспрепятствовать будут расценены, как попытки помешать следствию, и сделают только хуже.
Компьютер тоже может быть подвергнут обыску, и мешать этому бесполезно. Даже если злоумышленник будет утверждать, что ключ к шифру утерян, правительство может задействовать большие ресурсы для подбора пароля. Хакер усугубит свою вину и получит дополнительное наказание, если в компьютере окажутся нужные доказательства. Всем известно, что помощь следствию уменьшает срок, а любые помехи как минимум оставляют его неизменным, а в худшем — увеличивают.
Если вы нарушаете закон, находясь в России, то сталкиваетесь именно с российскими правоохранительными органами. Мне только один раз приходилось общаться с ними в качестве подозреваемого, и все закончилось для меня удачно, ибо не был виновен. Но если посмотреть телевизор и послушать что пишут, то если быть виновным, то наша полиция может выбить любые признания.
Даже если вы нарушаете закон за пределами России и взламываете серверы НАТО, общаться все равно придется со своими родными служителями порядка, потому что Интерпол не имеет никакой силы за пределами своей юрисдикции. Они могут только попросить полицию найти и доказать.