http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/tipovaya-ataka-na-sistemu/ http://www.microfinance.uz/tipovaya-ataka-na-sistemu/#comments Mon, 06 Oct 2008 06:26:28 +0000 admin http://www.microfinance.uz/tipovaya-ataka-na-sistemu/ Рассмотрим, как происходит типовая, абстрактная хакерская атака. Не будем пока говорить о серьезных профессиональных методах с засылкой шпионов в организацию, анализе содержания мусорных корзин компании или методах социальной инженерии. Просто один любопытствующий субъект с одной стороны земного шара хочет узнать, что есть интересного на серверах компании за океаном.
Первое, о чем должен задуматься хакер — об отсутствии обратной связи, т. е. о необходимости обеспечить себе условия, когда владелец атакуемой им системы (или тот, кто будет действовать в его интересах) не сможет узнать ни адреса, ни тем более личности того, кто произвел атаку. Простой периодической сменой IP-адреса тут не обойдешься. Утилиты обратного отслеживания укажут путь минимум до провайдера атакующего, а там, используя регистрационные журналы сервиса, можно довольно быстро разыскать злоумышленника. Необходимы другие методы. Первый — физический, т. е. периодически менять физическое место атаки, например, переходя из одного интернет-кафе в другое, оставаясь анонимным клиентом. Но этот метод хорош только для очень краткосрочной работы (несколько дней, а иногда и часов), так как довольно быстро можно определить страну и город хакера, а дальше в дело вступят оперативные мероприятия соответствующих служб — переезжать же постоянно из города в город довольно дорого.
Второй метод — логический. На безбрежных просторах Интернета существуют сервера (так называемые прокси-службы, или анонимайзеры), предоставляющие свои адреса для анонимной работы в Интернете. Для работы с таким сервером достаточно знать его адрес и, атакуя удаленную систему, указать специальным образом ее адрес в сочетании с адресом прокси-сервиса. Анонимайзер скроет настоящий адрес хакера, поместив в соответствующее поле свой адрес. Таким образом, в атакуемой системе возможно будет увидеть только адрес прокси-службы, реально находящейся от хакера в тысячах километрах. Используя в атакующем запросе последовательно несколько анонимайзеров можно хорошо спрятать свой собственный адрес. Единственным утешением является то, что использование анонимайзеров возможно не для всех сетевых протоколов. Ноутбук core i5 ASUS N53JN (N53JN-5450SEHDAP) c диагональю 15.6
Однако, если хакер узнал адрес прокси-службы, значит, узнать его может и специалист по безопасности. Периодически внося подобные сервера в “черный” список своего межсетевого экрана или маршрутизатора, можно отсечь все возможные атаки с указанного адреса. Кроме того, правоохранительные органы и государственные службы в состоянии отслеживать использование анонимайзеров (а также многих других сервисов, предоставляемых пользователям услуги Интернета удаленно) и кардинально другим способом (вопрос только в затратах на оборудование и желании). Дело в том, что при всем многообразии самостоятельных и псевдосамостоятельных провайдеров, топология сети Интернет представляет собой паутину только относительно нескольких центральных узлов. Все периферийное виртуальное пространство имеет древовидную структуру, “расползающуюся” от центра, т. е. достаточно установить оборудование мониторинга всего в нескольких коммутационных узлах, чтобы получить возможность исследовать подавляющий объем трафика сети. Для России подобным объектом является московский узел обмена трафиком между провайдерами “М9″1.
Естественно, объем кросс-коммутируемого трафика даже на российском узле представляет огромные значения, и на самом деле возникает вопрос о технической возможности процесса фильтрования и логирования трафика, параллельного основной маршрутизации. Однако поддержка журналов, состоящих только из IP-адресов/номеров портов источника и получателя трафика, времени установки и завершения сессии, вполне реальна. Сетевые стандарты для журналов подобного типа разработаны уже давно (например, протокол NetFIow от Cisco Systems). Они спроектированы таким образом, что их создание отнимает очень небольшие вычислительные ресурсы маршрутизатора.
Пусть известно, что компания^ К была взломана с адреса А с использованием средства С. Если предположить^ что имеется доступ ко всему многообразию электронных журналов, можно сделать следующие выборки: кто за последние дни (недели) интересовался сайтом К, кто скачивал (или использовал) средство С и кто использовал прокси-сервис А. Сравнение результатов может существенно снизить область поисков.
Однако допустим, что хакер достаточно смел, чтобы все-таки попробовать начать атаку. Что еще ему нужно для начала? Адрес веб-сервера или шлюза организации? Возможно, но скорее всего там будут сконцентрированы наибольшие средства защиты компании. Быть может, пойти немного другим путем?
Если известен список телефонов организации (или хотя бы диапазон номеров), можно попробовать узнать, не подключен ли кто-нибудь из них к модему. Для этого необходима программа типа war-dialer, которая будет методически обзванивать телефоны по указанному списку, отмечая номера, где ответит модем. Запустив программу на ночь, утром хакер получит список номеров модемов организации.

]]> http://www.microfinance.uz/tipovaya-ataka-na-sistemu/feed/ 1