Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Харьковский национальный университет внутренних дел
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ТПАСБ / Лекции / lec2.doc
Скачиваний:
74
Добавлен:
24.02.2016
Размер:
1.58 Mб
Скачать
►Содержание►

  1. Анонімністьв Інтернеті

Рассмотрим типичную схему хакерской атаки (взлома) в Интернете (см. рис.1).

Хакер выходит в Сеть через обычного провайдера, затем через цепочку анонимных proxy к удаленному шеллу и уже с шелла проводит атаку.

Шеллом обычно является "захваченная" машина (или "скарженная" на хостинге торгующего шеллами), т.е. на которой получено удалённое управление с правами администратора.

В приведенном случае задача шелла дать не анонимность, а обеспечить ресурсами, т.к. шелл обычно располагается на мощном сервере с широким каналом. Конечно, это не единственная схема: цепочку анонимных прокси может заменить цепочка из одних только шеллов. Шелл в схеме вообще может отсутствовать, также прокси-серверы могут идти только от удаленного шелла до цели (это если хакер хочет сохранить шелл) и т.п. Непрофессионалы вообще ограничиваются единственным прокси. Кроме того, хакер может выходить в Интернет через локальную сеть (например, из Интернет-кафе). Но в этом контексте это все несущественно, и приведенного рисунка достаточно, чтобы рассмотреть большинство опасностей, подс­терегающих хакера.

Рисунок 1

  1. Виды прокси-серверов

ЭКСКУРС В ТЕХНОЛОГИЮ

WWW представляет собой клиент-серверную технологию, основанную на прикладном протоколе HTTP.

В HTTP имеются два типа сообщений:

  • запросы от клиента (браузера) к серверу

  • и ответы сервера клиенту.

Для передачи сообщений используется протокол TCP и стандартный порт HTTP-сервера - 80. Запрос содержит URL - идентификатор ресурса (документа), который хотел бы получить клиент, и несколько вспомогательных заголовков.

Предполагается, что в ответ на запрос, проанализировав требуемый URL, сервер предоставит клиенту искомую информацию. Эта информация называется контентом. В простейшем случае это HTML-документ или файл в другом формате, однако контент может генерироваться сервером "на лету", например может быть вызвана сторонняя программа и ее вывод принят в качестве контента. Чтобы браузер правильно определил тип информации, содержащейся в контенте, и, соответственно, применил адекватный способ представления этой информации пользователю, контент сопровождается заголовком Content-Type, в котором указывается МIМЕ-тип данных.

МIМЕ (Многоцелевые расширения почты Интернета – Multipurpose Internet Mail Extensions, RFC 2045-2049) – спецификации, определяющие дополнения в формате почтовых сообщений для:

  • пересылки восьмибитовых текстов и полностью двоичных данных;

  • помещения восьмибитовых символов в заголовки сообщений;

  • поддержки сложных сообщений, состоящих из нескольких разделов (возможно, содержащих данные разных типов).

Между браузером и HTTP-сервером может располагаться промежуточное звено - HTTP-кэш, или прокси-сервер. Задачи, которые может решать прокси-сервер.

  1. Кэширование данных

Не всякий контент будет помещен в кэш. Администратор прокси-сервера формулирует политику кэширования: например, не кэшировать контенты больше определенного размера, контенты, в URL которых имеется каталог cgi или cgi-bin, или контенты, полученные с серверов локальной сети. Кроме того, используя заголовок Cache-Control, сервер может явно запретить кэширование выдаваемого им контента. Помещенный в кэш контент не хранится там вечно: на основании значения заголовков Last-Modified и Expires прокси-сервер определяет его "срок годности".

  1. Контроль и защита

Возможность использования прокси-серверов, как посредников между клиентом и HTTP-сервером является весьма полезной не только с точки зрения уменьшения трафика путем кэширования, но и с точки зрения обеспечения безопасности.

Разумная политика состоит в том, что все хосты внутренней сети должны пользоваться WWW через прокси-сервер предприятия. Правила фильтрации брандмауэра строятся таким образом, что разрешен только HTTP-трафик, следующий к прокси-серверу или от него. Особенность HTTP-трафика состоит в том, что он далеко не всегда привязан к порту 80, поэтому в общем случае для прокси-сервера должны быть открыты все порты или хотя бы наиболее популярные из них (80-86, 8000-8006, 8080-8086, 8888).

Решаемые задачи

Следующие административные задачи могут быть решены на прокси-сервере при обслуживании пользователя (группы пользователей):

  • разрешение доступа к тому или иному сайту;

  • разрешение использовать те или иные методы запроса (особенно CONNECT, позволяющего туннелировать сквозь прокси-сервер);

  • качество обслуживания запроса: например, выделение определенной полосы пропускания;

  • учет объема полученного за определенный период трафика и отказ в обслуживании пользователя при превышении определенного лимита;

  • направление запроса через того или иного провайдера, если организация подключена к нескольким провайдерам (например, запросы низкоприоритетных пользователей направляются по медленному, но дешевому каналу, а высокоприоритетные - по скоростной, но дорогой линии);

  • инспекция данных, передаваемых в запросе или ответе, например, для предотвращения несанкционированной передачи секретных данных или для автоматического удаления рекламных баннеров (выполнимо, если данные передаются в открытом виде).

  • HTTP прокси-серверы также могут предоставлять прокси-сервис и для протокола FTP, что поддерживается всеми браузерами и большинством специализированных FTP-клиентов.

1. НТТР-прокси. Самые распространенные прокси-сервера, которые позволяют работать по HTTP и (иногда) FTP протоколам. Степень обеспечиваемой анонимности определяется переменными окружения, которые прокси передает конечному серверу. Самые значимые из них:

REMOTE_ADDR (IP адрес клиента/прокси);

HTTP_VIA (адрес прокси-сервера);

HTTP_X_FORWARD_FOR (реальный IP-адрес клиента);

От того, какие переменные окружения подменяет или скрывает прокси сервер во время своей посреднической деятельности напрямую зависит анонимность его пользователей в сети.

Прозрачные (обычные) прокси не только не скрывают своего присутствия, но еще и показывают реальный IP-адрес клиента. У них другие задачи (кэширование информации, организации совместного доступа в Интернет нескольких машин и т.п.) При этом переменные окружения выглядят следующим образом:

REMOTE_ADDR=IP прокси

HTTP_VIA= IP прокси (подтверждение использования прокси-сервера)

HTTP_X_FORWARD_FOR=реальный IP-адрес клиента

Анонимные. Эти прокси также не скрывают факта своей работы, но заменяют IP адрес клиента своим собственным:

REMOTE_ADDR= IP прокси

HTTP_VIA= IP прокси (подтверждение использования прокси-сервера)

HTTP_X_FORWARD_FOR= IP прокси

Искажающие. То же самое что и анонимные. Не скрывают от конечного сервера то, что запрос идет через прокси, однако, вместо реального адреса клиента показывают произвольный:

REMOTE_ADDR= IP прокси

HTTP_VIA= IP прокси (подтверждение использования прокси-сервера)

HTTP_X_FORWARD_FOR= произвольный IP

Действительно анонимные. В отличие от других видов прокси-серверов скрывают сам факт своего существования, поэтому удаленный сервер фиксирует работу как с обычным клиентом.

2. SOCKS-прокси. Этот тип прокси работает не только по протоколам HTTP и FTP, но и по любому другому TCP/IP протоколу прикладного уровня (FTP, POP, SМТР и т.д.). Дело в том, что SOCKS (протокол представляет собой "уровень-прокладку" между прикладным уровнем и транспортным уровнем) не обрабатывает информацию, а просто передает данные от клиента к серверу. Поэтому используемый протокол не играет для него никакой роли. Выделяют две основные версии SOCKS 4 и 5. Последняя, в отличие от предшественницы, умеет использовать не только TCP, но и UDP соединения. С точки зрения анонимности SOCKS более предпочтителен, чем http-прокси, потому что не передают IP адрес источника информации. Кроме того, выстроить цепочку из SOCKS-ов значительно легче. Для этого можно воспользоваться утилитой SocksChain (www.ufasoft.com).

3. CGI-прокси. В последнее время стали выделять ещё один тип прокси-сервера, так называемые анонимайзеры. Это скрипты, которые сами выкачивают удаленную веб-страницу (соответственно открывают IP своего сервера) и выдают ее браузеру клиента. Использование публичных сервисов (например, www.anonymizer.com) вероятнее всего не даёт полную анонимность, а цепочка собственных CGI-прокси поставленных на различных веб-серверах, скорее всего, обеспечит анонимность. Классификация по степени анонимности у CGI-прокси точно такая же, как и у HTTP-прокси.

  1. Целесообразность существования анонимных прокси-серверов

Распространено мнение, что если сидеть за цепочкой proxy, которые будут расположены в разных частях света, то это обеспечит практически 100% анонимность. При этом отмечается, что прокси имеют свойства вести журналы аудита (логи), и по логам, в принципе, можно восстановить всю цепочку. Уже одно это утверждение не дает 100% анонимности, т.к. доступ к содержанию журнала аудита может предоставить сам администратор прокси-сервера (по разным причинам), или прокси-сервер может быть "взломан" и получен НСД к логам. Здесь определяющим фактором является время: лог-файлы периодически удаляются, а прокси-серверы закрываются.

Существует неофициальные данные о том, что большинство анонимных proxy принадлежат спецслужбам (!). Это логично, т.к. если кто-то хочет анонимности, значит, ему что скрывать, а если есть что скрывать. Отсюда должно быть понятно стремление спецслужб контролировать эти прокси-серверы. Да и как объяснить такое количество анонимных прокси-серверов в Интернете?

Целесообразность создания и администрирования анонимных прокси-серверов в Интернете частными лицами и организациями не очевидна. Если бесплатные почтовые службы или поисковые системы окупаются за счет рекламы, то кроме IP-адреса прокси-сервера, клиент совершенно ничего не знает о последнем (если конечно proxy не анонимайзер).

Неоднократно были замечены случаи, когда анонимный прокси-сервер делал попытку подключиться к клиенту, например, на 139 порт (МЭ это фиксирует). Что может понадобиться АНОНИМНОМУ ПРОКСИ-СЕРВЕРУ на 139 порту?!

На сайте w4news.host.sk/safety.htm можно прочитать следующую фразу: "Возможно, рroху контролируются спецслужбами, поэтому рекомендуем использовать только те, которые расположены за пределами России (СНГ) и стран НАТО". Однако этот совет неудачен. Ведь что мешает создать разветвленную сеть "анонимных" proxy-серверов по всему миру, например, российским спецслужбам? Ничего. Причем прокси-серверы можно располагать прямо в посольствах. А учитывая, что постоянное подключение к Интернету имеют около 140 стран, то создать рассредоточенную сеть обойдется совсем недорого даже для России, а тем более США.

А если эти прокси-серверы еще к тому же будут иметь высокую скорость и все возможности, типа SOCKS 5? Ведь не секрет, что большинство хакеров отбирают proxy по скорости. Возможно также, что сеть прокси-серверов совместно используется спецслужбами всех стран (например, подразделениями Интерпола).

Поэтому, даже если прокси из цепочки злоумышленника расположены в Нигерии, Японии, Финляндии и т.д., то они вполне могут принадлежать одной спецслужбе. Даже если в цепочку попадает сервер, не принадлежащий им, то это не проблема, т.к. достаточно выяснить, с какого из их серверов к нему могло осуществляться подключение. На рис. 2 показана возможная ситуация.

Рисунок 2

Возможно, именно контролирование большинства прокси в Интернете позволяет спецслужбам в считанные дни делать официальные заявления о том, из какой страны осуществлялась хакерская атака, или откуда пошло распространение вируса и т д. При­чем вплоть до таких экзотических стран, как Филиппины. Возможно также, что подконтрольные прокси в странах НАТО входят в систему Эшелон.

ЧТО ТАКОЕ ЭШЕЛОН?

Эшелон - американская сеть глобального электронного шпио­нажа. Эшелон может перехватывать информацию, переда­ваемую по множествам каналов связи (спутниковым, проводным) в любой точке планеты. Источниками информации служат Интернет, электронная почта, телефон, факс, телекс. Эшелон включает в себя множество спутников-шпионов, суперсовременных мощных компьютеров и наземных станций, расположенных по всему миру, на которых работают десятки тысяч сотрудников - программисты, криптологи, мате­матики, лингвисты... Принцип работы системы Эшелон прибли­зительно следующий: информация с каналов связи постоянно фильтруется сверхмощными компьютерами, если проходящее сообщение содержит ключевое слово, выражение или тембр голоса (нап­ример, голос Бен Ладена), которые входят в так называемый словарь Эшелона, то сообщение записывается. Словарь Эше­лона содержит огромное количество ключевых слов на многих языках мира и постоянно обновляется.

Вывод третий: любые прокси-сервера не обеспечивают полной анонимности.

Анонимность шеллов

Именно из-за недоверия к анонимным прокси некоторые профессиональные злоумышленники предпочитают заменять их цепочкой шеллов. Однако и шеллы не являются гарантией анонимности. Это связано с проектом Honeynet.

Honeynet - сеть машин, специально предоставленных для взлома с целью анализа и изучения инструментальных средств, тактики, и мотивов хакеров. Сайт проекта: www.honeynet.org (на bugtraq.ru можно почитать некоторые переводы). Кроме того, с теми же целями используются и отдельные маши­ны, называющиеся honeypots (медовые горшочки).

Проекты Honeynet поддерживаются в основном энтузиастами, однако было бы наивно полагать, что если это пришло в голову обычным специалистам по безопасности, то не могло придти в голову спецслужбам.

Вообще, подобная тактика с "подсадными утками" является известным приемом спецслужб не только в Сети. Главный особенность в том, что очень сложно отличить, является ли используемый шелл Honeynet или нет. Так, в Honeynet предусмотрен даже случай захвата или отключения хакером отдельного сервера логов (syslog-сервера). Причем не имеет значения, был ли захвачен шелл нестандартным способом или через поисковик по известной уязвимости. Honeynet строится на стандартных системах без всякого намека на снижение безопасности. Единственное, что может отличать настоящий шелл от Honeynet - это ограничение на количество исходящих соединений (в Honeynet предлагается разрешение от 5-10 соединений). Это делается с целью защиты от использования шелла для сканирования других систем, проведения DoS и т.д. Хотя, в принципе, такие ограничения могут прису­тствовать и на обычной машине.

Доверять "купленному" шеллу не менее опасно, т.к, во-первых. неизвестно, под чьим контролем находится хостинг, а во вторых, все действия могут фиксироваться в фалах журнала аудита - логироваться.

Вывод четвертый: шеллы не являются гарантией анонимности.

Провайдеры

В большинстве случаев спецслужбам удается установить IP-адрес хакера: но это ничего не значит, т.к. главная цель - узнать ФИО злоумышленника и, возможно, домашний адрес. Здесь все упирается в провайдера, т.к. только провайдер может сказать, кому принадлежит IP, а в случае с Dialup - с какого телефона осуществлялось подключение.

Если хакер находится в России, то российским спецслужбам значительно проще (практически все российские провайдеры находятся под контролем российских спецслужб). Но не нужно считать, что иностранным спецслужбам вообще никак не удастся установить личность злоумышленника. Если совершенное деяние будет достаточно серьезным, то не исключе­но, что спецслужбы обеих сторон смогут договориться. Если нет, то злоумышленника будут вы­числять по косвенным признакам.

Напри­мер, если после совершенного взлома злоумышленник, пользуясь одной и той же цепочкой прокси, заказывает себе домой на Amazon.com ка­кой-нибудь товар, то в случае, если дело расследуют американские спецслужбы, им не составит никакого груда составить запрос в магазин с требованием открыть адрес злоумышленника. Пока в Интернете есть хоть нем­ного личной информации о злоумышленнике, ее могут раскопать. Способов для этого много, и спецслужбы ими хорошо владеют.

Есть еще один фактор - речь идет о СОРМ в РФ (см рис. З).

СОРМ расшифровывается как "система оперативно-розыск­ных мероприятий" и подразделяется на две системы: СОРМ-1 и СОРМ-2. Первая предназначена для контроля телефонной связи, вторая анализирует Интернет-трафик. В соответствии с нормативными документами РФ, Интернет-провайдер на свои деньги обязан уста­новить оборудование, программы и выделенную линию для местного отделения ФСБ РФ, а также провести обучение сотрудников. Все это позволяет последним отслеживать, перехватывать и прерывать связь любого клиента этого провайдера. На данный момент практически все российские провайдеры провели эти работы. Принцип функционирования СОРМ-2 похож на принцип работы Эшелона, т.е. подобным образом происходит обработка и накопление информации по ключевым словам. Системы, подобные СОРМ, существуют во многих других стра­нах, например, в США это Carnivore.

В ЕС существуют такие нормативные документы:

  • Резолюція Ради Європи ЕС СОМ 96/C329/01 „Про законне перехоплення телекомунікацій”

  • ENFOPOL 55 „Про оперативні потреби правоохоронних органів стосовно телекомунікаційних мереж загального користування та послуг зв’язку”

Рисунок 3

Если имеются основания подозревать определенное лицо, то в соответствии с законодательством РФ СОРМ настраивается на постоянное слежение за трафиком подозреваемого.

В правовом поле Украины по рассматриваемому вопросу можно выделить такие нормативно-правовые акты.

  • Закон України "Про оперативно-розшукову діяльність". Стаття 8. Права підрозділів, які здійснюють оперативно-розшукову діяльність.

Оперативним підрозділам для виконання завдань оперативно-розшукової діяльності при наявності передбачених статтею 6 цього Закону підстав надається право:

9) знімати інформацію з каналів зв'язку, застосовувати інші технічні засоби отримання інформації;

10) контролювати шляхом відбору за окремими ознаками телеграфно-поштові відправлення;

  • Закон України “Про телекомунікації”. Стаття 39. Обов'язки операторів і провайдерів телекомунікацій.

4. Оператори телекомунікацій зобов'язані за власні кошти встановлювати на своїх телекомунікаційних мережах технічні засоби, необхідні для здійснення уповноваженими органами оперативно-розшукових заходів, і забезпечувати функціонування цих технічних засобів, а також у межах своїх повноважень сприяти проведенню оперативно-розшукових заходів та недопущенню розголошення організаційних і тактичних прийомів їх проведення. Оператори телекомунікацій зобов'язані забезпечувати захист зазначених технічних засобів від несанкціонованого доступу.

  • Наказ Служби безпеки України, Мінтрансзв’язку України № 1140/882 від 11.12.2007. "Технічні засоби для здійснення уповноваженими органами оперативно-розшукових заходів у телекомунікаційних мережах загального користування України. Загальні технічні вимоги".

Вывод пятый: профессиональным злоумышленникам, которые никогда не осуществляли НСД из одного и того же места, в обязательном порядке использовали АнтиАОН и пересылали любую компрометирующую информацию в зашифрованном виде, удавалось на неопределенное время затягивать свое пребывание на свободе.

Негласные сотрудники

Есть еще одна опасность для злоумышленников, о которой многие даже не задумываются - это негласные сотрудники спецслужб.

Закон України "Про оперативно-розшукову діяльність". Стаття 8. Права підрозділів, які здійснюють оперативно-розшукову діяльність.

Оперативним підрозділам для виконання завдань оперативно-розшукової діяльності при наявності передбачених статтею 6 цього Закону підстав надається право:

12) мати гласних і негласних штатних та позаштатних працівників;

13) встановлювати конфіденційне співробітництво з особами на засадах добровільності;

14) отримувати від юридичних та фізичних осіб безкоштовно або за винагороду інформацію про злочини, які готуються або вчинені, та загрозу безпеці суспільства і держави;

17) створювати і застосовувати автоматизовані інформаційні системи;

Вот, что пишут в [2]:

"Представь, ты общаешься в чате, обсужда­ешь предстоящие или совершенные взло­мы, радуешься жизни, а в это время один из участников, которого все считают за сво­его, бережно сохраняет логи и пересылает их на доклад вышестоящему начальству. Затем вы встречаетесь где-нибудь, отдыхаете, беседуете, а в это время неизвестный человек, который уже заранее знал о вашей встрече, делает снимки скрытой камерой и т.д.

Стать своим в российских так называемых хакерских тусах совсем не сложно, доста­точно похвастаться парочкой дефейсов, и тебе откроются самые приватные чаты и форумы. В зарубежных форумах это сделать сложнее ‑ там нужно сделать что-то существенное, чтобы на тебя обратили хоть немного внимания (но для спецслужб это не проблема).

Негласные сотрудники внедрены во многие преступные группировки, шпионы работают на секретных предприятиях иност­ранных государств, доносчики следят за вы­сокопоставленными лицами... было бы странно, если бы спецслужбы не догадались внедрить своих людей и в хакерское сооб­щество.

Возможно, многие, кто сейчас от­дыхает на нарах, помают голову: - "В чем же была моя ошибка? Как меня смогли повя­зать?" - и даже не думают, что тот прикольный чел в IRC, с которым они вместе ломали не один десяток машин, является самым настоящим негласным сотрудником".

Вывод последний: все, что ты делаешь, не остается незаметным.

Соседние файлы в папке Лекции
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности