http://hack-articles.org/ компьютерная безопасность, хакинг, взлом и защита en-us Nucleus CMS v3.24 © Weblog http://backend.userland.com/rss http://hack-articles.org//nucleus/nucleus2.gif http://hack-articles.org/ http://hack-articles.org/index.php?itemid=112 Источник: bugtraq.ru


перевод Алексея Лукацкого, НИП "Информзащита"

Предисловие переводчика: небольшое введение к оригинальной статье было удалено, т.к. оно не относилось к делу. В нем описывалось как к Фреду пришла идея написать этот материал. Я его пропустил. Единственное, что надо добавить, - автор предупреждает, что к этому материалу надо относиться одновременно и серьезно и с определенной долей иронии. Многие пути применимы только для ОС Unix.Вставка посторонних символов в атаку, что обычно приводит к невозможности ее обнаружения. (Примечание переводчика - это касается систем обнаружения злоупотреблений, которые используют сигнатуры атак).
Использование табуляций вместо пробелов в командах. Такое изменение разделителя может также привести к невозможности обнаружения атаки.
Очень близкий путь к п.2. Вы могли бы изменить символ разделителя в системе (например, на %), что приведет к определенным проблемам с системами обнаружения атак.
Измените стандартную последовательность действий при атаке. Например, если атака одинаково осуществляется и при 'a;b;c' и при 'b;a;c', то большинство систем обнаружения атак обнаружит первый вариант реализации атаки, но "заглохнет" на ее вариации.
Разделите атаку между несколькими пользователями. Если взять пример выше, то 'a;b' осуществляет первый пользователь, а 'c' - второй. Такое разделение не обнаруживается многими системами обнаружения атак.
Разделите атаку между несколькими сессиями (сеансами). Например, в такой последовательности: Login -> 'a;b' -> Logout -> Login -> 'c'.
Разделите атаку между несколькими удаленными IP-адресами/системами. Например, с узлов X и Y запустите 'a' с X, 'b' с Y, а затем 'c' опять с X.
Определите макрос для команды, используемой в атаке. Например, для команды 'cp' определите макрос '$ZZ' и в дальнейшем используйте его вместо 'cp'.
Определите макрос как параметр, используемый в атаке. Например, используйте '$P' вместо строки '/etc/passwd'.
Создайте скрипт, который заменит команды, используемые при атаке. Если тщательно реализовать эту операцию, то система обнаружения атак не сможет связать вместе название скрипта и команд для атаки, что приведет к ее пропуску. Дополнительная атака - добавьте комментарий к строке атаки.
Используйте различные команды для выполнения одинаковых функций. Например, в Unix 'echo *' это почти то же самое, что и 'ls'.
Измените имена в атаках. Например, если атака использует временный файл 'xxx', то измените его на 'yyy'.
Создайте code-book translator для ключевых слов атаки. Это может быть выполнено пересылкой всех команд атаки через фильтр с использованием 'sed' для строковых замен.
Кодируйте атаку в кодировке 'ebcdic' и измените тип терминала на 'ebcdic'. Система обнаружения атак не может определить атаки в различных кодировках.
Реализуйте атаки по зашифрованному каналу.
Используйте постфиксную нотацию для передачи данных или команд атаки, а затем возврат обратно по ее окончании. Система обнаружения атак не сможет распознать команды, посланные в таком виде. (Примечание переводчика - главное, чтобы атакуемая система тоже смогла понять обратный порядок).
Включите полнодуплексный (full duplex) режим соединения с целью атаки. Дополнительные символы, создаваемые в этом режиме, будут путать систему обнаружения атак.
Смешайте несколько атак, чередуя команды из каждой. Система обнаружения атак не должна правдоподобно распознавать ни одну из них.
Кодируйте результаты атак таким образом, чтобы они не совпадали с шаблонами и не могли быть использованы для обнаружения атак. Например, вместо того, чтобы сразу послать себе по почте файл паролей, используя ошибку в sendmail, пропустите этот файл через скрипт 'sed' и замените все символы ':' на '-'. Тем самым, вы несущественно измените файл паролей, который уже не будет соответствовать шаблону.
Атака "пропускается" через скрипт замены символов, написанный на awk. Это вводит в заблуждение систему обнаружения атак. Дополнительная атака - Выполните команды, выбираемые из таблицы выполненных перед этим команд по номеру строки этой таблицы. Например, для выполнения команды 'dir *.com' вы могли бы дать команду '15 *.com'.
Подавите порт модуля слежения. Например, вы могли бы посылать echo на порт модуля слежения, тем самым делая невозможным прием других данных.
Пошлите системе обнаружения атак пакеты PING большого размера. Многие системы будут выведены из строя.
Уничтожьте систему обнаружения атак нападая на узел, на котором она установлена. Скомпрометировав этот узел, вы сможете вывести из строя и саму систему обнаружения атак.
Создайте ложные записи в журналах регистрации для введения в заблуждение системы обнаружения атак. Например, создайте между событиями, характеризующими атаку, ложное событие, приводящее к обману системы обнаружения атак.
Займите все дисковое пространство, выделенное для системы обнаружения атак. Например, вы можете создать очень много событий, которые переполнят журналы системы обнаружения атак и не позволяет ей регистрировать остальные атаки.
Остановите процесс генерации и сбора данных об атаках. Например, вы можете породить большое число процессов, тем самым не давая создать системе обнаружения атак процесс для сбора необходимых данных.
Заставьте систему обнаружения атак прервать соединение. Например, некоторые системы обнаружения атак могут завершать соединение с атакующим узлом. Вы можете создать трафик от узла, который вы хотите атаковать. Система обнаружения атак будет блокировать все пакеты, исходящие от скомпрометированного узла, тем самым давая вам возможность атаковать этот узел так, как вам надо.
Повтор
Повтор
Используя редактор 'emacs' команды атаки заносите в буфер 'cmd' вместо набора на клавиатуре. Система обнаружения атак будет "видеть" только нажатия "горячих" клавиш, в то время, как интерпретатор команд на компьютере жертвы будет получать команды атаки. (Примечание переводчика - перевел криво, но смысл в целом понятен). Дополнительная атака - Осуществляйте атаку очень медленно. Т.к. размеры буфера для хранения регистрационных данных ограничены, то ваши первые команды для атаки могут быть потеряны к тому моменты, когда вы реализуете последние команды атаки.
Измените таблицу маршрутизации, чтобы избежать попадания трафика к системе обнаружения атак.
Небольшая модификация предыдущего примера.
Используйте маршрутизацию источника, чтобы направить составляющие атаки по различным маршрутам, тем самым обманывая одиночные системы обнаружения атак.
Начните исходящую сессию с жертвой через модем и по этому соединению проведите атаку. Сетевые системы обнаружения атак пропустят это нападение.
Измените инфраструктуру между жертвой и системой обнаружения атак. С системах удаленного управления и сетевых системах обнаружения атак часто достаточно для этого изменить маршрутизацию трафика (например).
Используйте промежуточный узел. Вашу атаку смогут блокировать, но в этом случае очень трудно отследить источник атаки, особенно в том случае, если ваши противники не умеют этого.
Начните атаку с редко используемого или неиспользуемого порта. Очень часто системы обнаружения атак не контролируют такие порты.
Используйте модифицированные протоколы, типа тех, которые обращают байты в слова (см. для примера PDP-11 и VAX).
Используйте IPX над IP. Система обнаружения атак возможно обратит внимание на IP-пакеты, но не поймет их содержание.
Используйте различные туннелированные протоколы для атаки. Дополнительная атака - определите свой собственный протокол и приложение и атакуйте через них.
Атаки через коммутируемые соединения. Сетевые системы обнаружения атак никогда не обращают внимания на такие соединения. (Примечание переводчика - достаточно спорный момент. По крайней мере система RealSecure контролирует такие соединения).
Создайте большое число ложных событий для увеличения уровня "шума" для системы обнаружения атак. Это серьезно увеличит время и ресурсы, затрачиваемые на обнаружение реальной атаки.
Вставьте команды атаки внутрь макроса WinWord. Возможно система обнаружения атак не сможет обнаружить такую атаку.
Вставьте команды атаки внутрь макроса различных программных пакетов (PowerPoint, Excel, Access, 123 и т.д.). Возможно система обнаружения атак не сможет обнаружить такую атаку.
Поместите атаку в скомпилированную программу (т.е. троянский конь) и пусть жертва загрузить и выполнит этот файл.
Используйте редко используемые протоколы для атаки. Возможно система обнаружения атак не сможет интерпретировать пакеты этого протокола.
Транслируйте атаку на другой язык, отличный от того на котором была впервые опубликована оригинальная версия.
Используйте нетехнические меры для атаки (например, социальный инжинириг). Т.к. системы обнаружения атак оперируют только битами и байтами, то многие из атак, используемых сегодня, не будут обнаружены.
Нападайте на любой узел, функционирующий не под управлением Unix. Почти все существующие системы обнаружения атак не обнаруживают атаки, направленные не на Unix. (Примечание переводчика - этот путь уже давно устарел).
Используйте одну из тысяч атак, пока не обнаруживаемых системами обнаружения атак. Дополнительная атака - создайте свою атаку.]]> Статьи http://hack-articles.org/index.php?itemid=112 Sun, 30 Mar 2008 16:31:25 +0400 http://hack-articles.org/index.php?itemid=111
Этот способ мошенничества сравнительно молод. Прежние похожие уловки, например письмо якобы фирмы "Nigerian", предлагавшее миллионы в обмен на номер банковского счета адресата, на его фоне выглядят смехотворно. Новые схемы стали гораздо сложнее. И по мере неуклонного роста количества электронных сделок и Internet-продаж, становится все труднее отличить такую "рыбалку" от серьезных предложений компаний, с которыми клиенты обычно имеют дело, например фирм "eBay", "PayPal" и "Amazon". По приблизительным подсчетам, около 5% адресатов попадаются на подобные уловки.Большинство мошенников изображают коммерческие компании, торговые организации или фирмы, предоставляющие услуги Internet. Неудивительно, что 92% этих сообщений используют несуществующие почтовые адреса, а средний срок жизни мнимого Web-узла составляет 2 дня и 8 часов. Получение множества копий одного сообщения или письма, которое содержит орфографические ошибки, неверную пунктуацию или произвольный текст, ясно указывает, что сообщение имеет непосредственное отношение к "фишингу". Дополнительную информацию по "фишингу" и копии действующих ложных сообщений можно получить по адресу "http://www.antiphishing.org". Далее я представляю вашему вниманию список 10 самым распространенных разновидностей "фишинга". Если одно из этих сообщений появилось в вашем почтовом ящике, будьте бдительны и не дайте себя обмануть.

10. "Westpac" Прикрываясь именем известной банковской онлайн-организации, эти сообщения предлагают услуги по обновлению (а именно, Security Server Update) и пытаются похитить ваши данные для входа в систему "Westpac", используя ложную Web-страницу (http://www.westpac.com/index.html), имеющую вид страницы авторизации.

9. "Halifax" Есть подозрения, что источник сообщений "фишинга", маскирующийся под фирму "Halifax", находится в России. "Halifax" - это британская банковская организация, и сообщение содержит URL-адрес, по которому пользователь попадает на копию сайта фирмы "Halifax".

8. "AOL" Одна из первых ловушек была "посвящена" организации AOL Instant Messenger. В сообщении предлагалось подтвердить регистрационные данные (Confirm AOL billing info). Клиент должен был ввести имя и пароль, поскольку сообщалось, что платежи не будут завершены, пока клиент не обновит регистрационные данные.

7. "Barclays" "Barclays Bank" - еще одна коммерческая британская организация, чье имя было использовано "фишерами" в 2004 году. Как и в случае с компанией "Halifax", ссылка отправляла пользователей на фальшивый сайт.

6. "Lloyd's" Ложные сообщения от компании "Lloyd's" в Лондоне, копии которых используют названия других коммерческих организаций, содержат неотличимый образ известной компании и предлагают ввести информацию о вашем счете. Сообщения содержат смешанный текст, чтобы перехитрить "антиспамовые" фильтры.

5. "Fleet" Чтобы убедить клиента ввести данные доступа к счету, в ложных сообщениях от фирмы "Fleet Bank" объявляется о новых стандартах безопасности для клиентов (New Security Standards for Customers), а также сообщается о том, что "Fleet Bank" обновляет свои политики безопасности и от вас требуется произвести подтверждение личных данных.

4. "PayPal" Миллионы пользователей компании "PayPal" были обмануты данной схемой "фишинга". Предлогом служит ограничение счета (PayPal account Limited). В сообщении говорится, что ваша учетная запись в "PayPal" была использована неизвестным посторонним лицом, поэтому необходимо подтвердить данные счета.

3. "US Bank" Под предлогом несанкционированного доступа (US Bank Fraud Verification Process) авторы этого приема пытаются предупредить вас, что к вашему счету в организации "U.S. Bank" был осуществлен неавторизованный доступ (без сомнения, "рыбаки" принимают желаемое за действительное).

2. "eBay" Тема - подтвердите данные вашего счета (Verify your Account), в теле сообщения присутствует логотип, похожий на официальный логотип "eBay" и вставленная форма HTML, запрашивающая ваше имя пользователя и пароль для входа в систему "eBay".

1. "CitiBank" По некоторым причинам компания "CitiBank" является одним из самых популярных объектов "фишинга", и существует множество различных сообщений, связанных с этой организацией. Одна из самых распространенных разновидностей использует предлог улучшения обслуживания (Maintenance upgrade) и содержит ссылку на форму, которая пытается получить номер кредитной карты клиента.]]> Статьи http://hack-articles.org/index.php?itemid=111 Sun, 30 Mar 2008 16:30:45 +0400 http://hack-articles.org/index.php?itemid=110
Существуют тысячи инструментов, как коммерческих, так и бесплатных, предназначенных для специалистов, которым приходится оценивать систему безопасности сети. Сложность заключается в выборе подходящего для конкретного случая инструмента, которому можно доверять. Чтобы сузить круг поиска, в данной статье я предлагаю вниманию читателей 10 превосходных бесплатных инструментов для анализа уровня безопасности сети.

Процесс оценки безопасности сети состоит из четырех основных этапов: сбор данных, привязка, оценка и проникновение. На стадии сбора данных проводится поиск сетевых устройств с помощью сканирования в реальном времени с применением протоколов Internet Control Message Protocol (ICMP) или TCP. На стадиях привязки и оценки определяется конкретная машина, на которой работает служба или приложение, и оцениваются потенциально уязвимые места. На этапе проникновения одно или несколько уязвимых мест используются для привилегированного доступа к системе с последующим расширением полномочий на данном компьютере либо во всей сети или домене.
1. Nmap

Проверенный временем инструмент Network Mapper (Nmap) существует несколько лет и постоянно совершенствуется автором. Nmap — необходимый инструмент специалиста по сетевой безопасности, значение которого невозможно переоценить. Nmap можно по-разному использовать на стадии сбора данных для сканирования в реальном времени, чтобы выявить системы, активные в данной сети. Nmap также полезен для обнаружения ACL (список управления доступом) маршрутизатора или правил брандмауэра с помощью проверки флага подтверждения (ACK) и других методов.

На этапах привязки и оценки Nmap можно использовать для сканирования портов, перечисления служб и номеров их версий и сбора отличительной информации об операционных системах. Nmap — превосходный инструмент для углубленного анализа и проверки результатов автоматизированной программы сканирования. Первоначально Nmap проектировался для UNIX, но в последние годы был перенесен на платформу Windows. Nmap — программа с открытым исходным кодом, ее можно бесплатно загрузить с нескольких сайтов, основной из которых — http://www.insecure.org/nmap.2. N-Stealth

Один из наиболее сложных этапов анализа нарушений в системе безопасности — стадия оценки. Определить активные системы и службы, которые работают на них, несложно, но как выяснить степень уязвимости конкретной службы? Эффективный инструмент для Web-служб — N-Stealth Security Scanner компании N-Stalker. Компания продает более полнофункциональную версию N-Stealth, но бесплатная пробная версия вполне пригодна для простой оценки. Платный продукт располагает более чем 30 тыс. тестов системы безопасности Web-серверов, но и бесплатная версия обнаруживает более 16 тыс. конкретных пробелов, в том числе уязвимые места в таких широко распространенных Web-серверах, как Microsoft IIS и Apache. Например, N-Stealth отыскивает уязвимые сценарии Common Gateway Interface (CGI) и Hypertext Preprocessor (PHP), использует атаки с проникновением в SQL Server, типовые кросс-сайтовые сценарии и другие пробелы в популярных Web-серверах.

N-Stealth поддерживает как HTTP, так и HTTP Secure (HTTPS — с использованием SSL), сопоставляет уязвимые места со словарем Common Vulnerabilities and Exposures (CVE) и базой данных Bugtraq, а также генерирует неплохие отчеты. Я использую N-Stealth для поиска наиболее распространенных уязвимых мест в Web-серверах и определяю самые вероятные направления атак. Более подробную информацию о N-Stealth можно получить по адресу http://www.nstalker.com/eng/products/nstealth. Конечно, для более достоверной оценки безопасности Web-узла или приложений рекомендуется приобрести платную версию или такой продукт, как WebInspect компании SPI Dynamics.
3. SNMPWalk

SNMP — известный, широко используемый и совершенно незащищенный протокол, работающий через UDP-порт 161. Маршрутизаторы Cisco Systems и серверы Windows, как правило, совместимы с SNMP и в лучшем случае минимально защищены требованием указывать чисто текстовую строку с именем сообщества (community string), чтобы получить разрешения на запись и чтение. Для оценки мер безопасности, пусть слабых, SNMP в сети удобен такой инструмент, как SNMPWalk, с помощью которого можно получать важную информацию от сетевых устройств. Простой запрос SNMP поможет обнаружить утечку информации из устройств SNMP. Например, широко известная стандартная community-строка для маршрутизаторов Cisco — «ILMI». Используя эту строку, SNMPWalk может извлечь из маршрутизаторов Cisco массу информации, которая позволяет получить полный контроль над инфраструктурой сетевого маршрутизатора, если конкретный важный фрагмент данных хранится в информационной базе Cisco Management Information Base (MIB).

SNMPWalk — открытый инструмент, который был разработан в рамках проекта Net-SNMP в Университете Карнеги—Меллона в начале 1990-х, когда началось внедрение SNMP. Для извлечения управляющих параметров (в абстрактном синтаксическом представлении — Abstract Syntax Notation, ASN) из поддерева MIB SNMP используется запрос get-next. Как отмечалось, чтобы получить право чтения информации с устройства, достаточно лишь строки, которая хорошо известна или может быть без труда найдена в сети. Версии SNMPWalk для UNIX и Windows можно получить по адресу http://net-snmp.sourceforge.net.
4. Fpipe

Один из наиболее сложных тестов системы безопасности, которые полезно выполнить в сети, — имитировать нападение взломщика, отыскивая способы обойти одну или несколько линий обороны. Пример обходного маневра на этапах оценки или проникновения — ретрансляция или перенаправление портов, и инструмент Fpipe компании Foundstone (подразделение компании McAfee) как нельзя лучше подходит для этого. Для обхода списков управления доступом (ACL) маршрутизатора, правил брандмауэра и других механизмов защиты иногда можно обращаться к конкретной службе, работающей через порт, перенаправляя или туннелируя трафик в нужный TCP-порт через другой TCP-порт.

Упрощенный пример — маршрутизатор между подсетями, который разрешает прохождение только HTTP-трафика через TCP-порт 80. Предположим, требуется установить соединение с машиной, работающей с Telnet (TCP-порт 23) в другой подсети. Если удалось проникнуть в другую систему в той же подсети, в которой расположен компьютер, работающий с Telnet, то с помощью ретранслятора портов, такого как Fpipe, можно организовать TCP- или UDP-«поток», который инкапсулирует трафик для TCP-порта 23 в пакеты, идентифицируемые как пакеты TCP-порта 80. Эти пакеты проходят через маршрутизатор, в котором разрешен трафик TCP-порта 80, и поступают в пораженный компьютер, на котором работает Fpipe или другой ретранслятор портов. Этот ретранслятор портов «сбрасывает» оболочку с пакетов и передает трафик TCP-порта 23 целевому получателю.

Для переадресации и перенаправления портов можно использовать также Secure Shell (SSH) или Netcat (описание приведено ниже), но бесплатная, простая в использовании и хорошо документированная программа Fpipe предпочтительнее. Новейшую версию Fpipe можно получить по адресу http://www.foundstone.com.
5. SQLRECON

За последние несколько лет было выявлено много уязвимых мест в таких SQL-продуктах, как Microsoft SQL Server, Oracle Database и Oracle Application Server. Наиболее известной угрозой был «червь» SQL Slammer в 2003 г. (описание опубликовано по адресу http://www.cert.org/advisories/CA-2003-04.html). До недавнего времени не существовало инструмента для точного обнаружения экземпляров SQL Server и номеров их версий, поэтому выявить потенциальные изъяны в системах SQL Server было трудно. Слишком часто инструменты неверно определяли версию SQL Server, так как извлекали информацию из портов (например, TCP-порта 1433, UDP-порта 1434), в которых содержались неверные данные о версии SQL Server.

Недавно появилась утилита SQLRECON, которую можно загрузить с сайта компании Special Ops Security по адресу http://specialopssecurity.com/labs/sqlrecon. SQLRECON просматривает сеть или хост-компьютер, идентифицируя все экземпляры SQL Server и Microsoft SQL Server Desktop Engine (MSDE). Основное достоинство инструмента заключается в том, что в одной утилите объединены несколько известных методов привязки и обнаружения SQL Server/MSDE. Получив достоверную информацию о серверах SQL (и их версиях) в сети, можно приступить к поиску потенциальных уязвимых мест. SQLRECON — не сканер уязвимых мест, а скорее средство обнаружения, которое значительно облегчает задачу оценки безопасности сети. Теперь нужен инструмент для Oracle...
6. Enum

Специалисту по Windows, знакомому с Linux, полезно иметь исчерпывающий (и бесплатный) инструмент для сбора самой разнообразной информации о системе Windows. Именно таким инструментом является Enum. Запускаемая из командной строки утилита с консолью управления сообщает массу полезной информации о компьютере Win32 через службу NetBIOS, которая работает с TCP-портом 139. В ходе как неаутентифицированных (null session), так и аутентифицированных сеансов Enum может извлекать списки пользователей, систем, общих ресурсов, групп и их членов, паролей и информации о политиках LSA (Local Security Authority — локальный диспетчер безопасности). С помощью Enum можно проводить примитивные словарные атаки методом перебора на индивидуальные локальные учетные записи. На экране 1 показана подробная информация о системе Windows, которую можно дистанционно собрать с помощью этого инструмента. Enum (наряду с некоторыми другими превосходными инструментами, такими как Pwdump2 и LSAdump2) можно загрузить с сайта BindView по адресу http://www.bindview.com/services/razor/utilities.
Экран 1. Ключи Enum

7. PsTools

Большинство администраторов знакомы с многочисленными инструментами и ресурсами компании Sysinternals. Для оценки безопасности очень полезен комплекс PsTools. Название комплекса происходит от ps (process listing), утилиты командной строки для UNIX. PsTools представляет собой набор инструментов, заполняющих пробелы в обычном инструментарии командной строки и комплектах ресурсов для Windows. PsTools особенно полезен для оценки безопасности и проникновения как на удаленные, так и на локальные компьютеры.

Проникнув через лазейку, очень удобно воспользоваться PsTools, чтобы дистанционно манипулировать системой и расширить атаку, в частности повысить уровень своих полномочий. Например, если удалось пробраться в систему и получить локальный административный доступ, но требуется повысить уровень полномочий до уровня администратора домена, который зарегистрирован в данный момент, с помощью PsTools можно выполнить такие операции, как удаленное завершение сеанса и уничтожение процесса.

PsExec — одна из лучших утилит комплекта PsTools. Благодаря ей пользователь с локальным административным доступом (через аутентифицированное сетевое соединение) может дистанционно запускать программы в системе. Очень эффективный прием — использовать PsExec для запуска cmd.exe на удаленной системе, что обеспечивает доступ к удаленной командной строке с административными полномочиями (PsExec не позволяет получить такие полномочия, их нужно приобрести каким-то другим способом). Более подробную информацию о PsExec можно найти в статье «PsExec», опубликованной в Windows IT Pro/RE № 6 за 2004 г.

Другие полезные программы — PsList для составления списка всех процессов, активных на удаленной системе, и PsKill, с помощью которой можно уничтожать отдельные процессы на удаленном компьютере. Более подробно об этих утилитах рассказано в статье «PsList и PsKill», опубликованной в Windows IT Pro/RE № 7 за 2004 г. Помимо оценки уровня безопасности, комплекс PsTools весьма полезен и прост для дистанционного выполнения многих административных операций из командной строки (вероятно, именно таким было основное намерение авторов). Комплекс PsTools (наряду со многими другими ресурсами) можно получить на Web-узле Sysinternals по адресу http://www.sysinternals.com/utilities.html.
8. Netcat

Netcat достаточно широко известен как средство открыть лазейки для доступа взломщика в систему (этап проникновения), но менее известны его возможности в качестве инструмента для привязки и оценки, а также выполнения других важных операций, составляющих традиционную процедуру оценки уровня сетевой безопасности. Он был разработан более десяти лет назад для UNIX и перенесен в Windows в 1998 г. Netcat — это расширение UNIX-команды
cat

с помощью которой можно организовать потоковую пересылку содержимого файлов на экран и с экрана, чтобы просматривать, изменять или объединять данные. С помощью Netcat можно читать и записывать данные из стандартных устройств ввода/вывода компьютера через сеть TCP/IP. В результате пользователь может работать с набором протоколов TCP/IP и читать/записывать данные через порты TCP и UDP.

Помимо организации лазеек, Netcat можно использовать для захвата заголовков (Telnet, SMTP и FTP), конвейеризации файлов и данных, сканирования портов, дистанционной привязки служб к портам и многих других задач. Мне кто-нибудь то и дело демонстрирует новые, неизвестные ранее способы применения Netcat. Чаще всего я использую данную утилиту для подключения к TCP-порту, чтобы попытаться извлечь из него какую-нибудь информацию, и обратной передачи приглашения командной строки с целевой системы.

Версию Netcat для Windows можно загрузить по адресу http://www.vulnwatch.org/netcat. Чрезвычайно подробное описание инструмента опубликовано по адресу http://www.vulnwatch.org/netcat/readme.html.
9. John the Ripper

Большинство администраторов наверняка слышали об инструменте для взлома паролей и аудита L0phtCrack, первоначально разработанном группой The Cult of the Dead Cow; в настоящее время владеет программой и совершенствует ее фирма @stake, недавно купленная компанией Symantec. Я предпочитаю John the Ripper, простой, эффективный инструмент разгадывания паролей, реализованный на многих платформах (в том числе на Windows), в основе которого лежит известный UNIX-инструмент Crack. С помощью John можно выявить характеристики и возможности системы, чтобы оптимизировать производительность. По моему опыту John предпринимает значительно больше попыток в секунду, нежели другие программы разгадывания паролей, в том числе L0phtCrack (считается, что LC5 — текущая версия L0phtCrack — значительно быстрее прошлых версий, но за нее приходится платить).

Кроме того, John не только раскрывает хешированные пароли Windows (LAN Manager и NT LAN Manager, NTLM), но и без дополнительной настройки взламывает любые пароли, в которых применяются шифротекст или форматы хеширования DES (standard, single, extended), MD5, Blowfish или Andrew File System (AFS). John в сочетании со словарным файлом (существует множество таких файлов, охватывающих практически все известные языки галактики — даже вуки и клингон) представляет собой незаменимый инструмент для взлома паролей и аудита (необходимый каждой компании, независимо от строгости ее политики). Утилиту John the Ripper можно получить по адресу http://www.openwall.com/john или http://www.securiteam.com/tools/3X5QLPPNFE.html.
10. Metasploit Framework

Простая в использовании платформа проникновения, содержащая описание новейших угроз, дополненная функциями автоматического обновления и расширяемая с помощью известного языка, такого как Perl. Однако небезопасно (и довольно безответственно) бесплатно предоставлять такие возможности кому попало — это просто подарок для начинающих хакеров (все равно что выставить ядерный чемоданчик на аукционе eBay). Однако нельзя не признать, что такой инструмент, как Metasploit Framework, очень пригодится специалистам по сетевой безопасности для эмуляции угроз.

Metasploit Framework появилась около двух лет назад как результат исследовательского проекта, возглавляемого известным специалистом по проблемам безопасности Х. Д. Муром. Цели проекта были отчасти благородными: углубить исследования в области безопасности и предоставить ресурс для разработчиков средств проникновения. Я использую Metasploit Framework (с некоторой осторожностью и после предварительного тестирования в лаборатории) в качестве инструмента проникновения для оценки уровня безопасности.

Metasploit — механизм на базе сценариев Perl, с помощью которого можно применять множество методов проникновения для различных платформ и приложений (на момент подготовки данной статьи известно более 75 способов проникновения, несущие 75 вариантов нагрузки, и это число увеличивается). Помимо набора методов проникновения через известные лазейки, Metasploit позволяет переслать в обнаруженную брешь конкретную программу. Например, проникнув в систему, не защищенную от SQL Slammer (см. выше раздел SQLRECON), можно выбрать способ манипулирования пораженной системой: создать соединение с помощью оболочки Win32 Bind, обратную посылку оболочкой Win32 Reverse, просто выполнить дистанционную команду, ввести вредную серверную DLL утилиты Virtual Network Computing (VNC) в пораженный активный процесс или применить другой метод. Metasploit Framework расширяется с использованием модулей Perl, поэтому можно подготовить собственные средства проникновения, включить их в инфраструктуру и воспользоваться готовой подходящей программой использования. На экране 2 показан удобный в применении Web-интерфейс Metasploit со списком методов проникновения.
Экран 2. Web-интерфейс Metasploit Framework


Я рекомендую относиться к Metasploit Framework с осторожностью и использовать ее только для демонстрации конкретных уязвимых мест в ходе анализа сетевой безопасности. Загрузить Metasploit Framework можно по адресу http://www.metasploit.com.

Nessus (http://www.nessus.org) — еще один широко распространенный сканер пробелов безопасности, который существует уже несколько лет и заслуживает внимания.

В данной статье я попытался сделать невозможное — составить список наиболее распространенных бесплатных инструментов, полезных для оценки сетевой безопасности. Трудно выбрать лишь десять среди множества существующих средств. Если рекомендованные продукты не подходят в конкретной ситуации, то должны быть другие, аналогичные бесплатные инструменты. Можно обратиться и к коммерческим средствам, которые часто более полно проработаны и обслуживаются лучше, чем бесплатные продукты. И даже если вы узнали из статьи лишь об одном новом инструменте, можно считать, что она прочитана не зря.]]> Статьи http://hack-articles.org/index.php?itemid=110 Sun, 30 Mar 2008 16:30:13 +0400 http://hack-articles.org/index.php?itemid=109
Специалисты говорят, что несмотря на появление на рынке массы программных продуктов и аппаратных средств для защиты данных или обнаружения вторжений, владельцы сайтов по-прежнему не озаботились проблемой безопасности своих проектов.

В White Hat Security отмечают, что в подавляющем большинстве случаев в результате взлома бизнес несет прямые убытки, а пользователи "делятся" своими данными со злоумышленниками.Наиболее распространенной уязвимостью так же как и в прошлом году считается XSS (Cross-Site Scripting). Такая возможность присутствует на 70% сайтов. Напомним, что XSS возникает, когда веб-приложение получает специальным образом созданным запрос, в результате которого выдаются закрытые данные или происходит редирект на сайт со злонамеренным кодом.

Следующая по популярности уязвимость связана с утечкой служебной информации - уязвимости такого рода возникают примерно в 45% случаев. По словам представителей White Hat, к утечкам служебных данных они отнесли случаи, когда сайты намеренно или по недоразумению открывают в публичный доступ такие данные, как заметки разработчиков софта, пользовательскую информацию, внутренние IP-адреса, исходные коды скриптов, номера и данные о версиях серверного программного обеспечения или детальные сведения об ошибках и журналах серверного ПО.

Примерно в 25% случаев на сайтах зафиксированы уязвимости, связанные с неверным решением для защиты от спамерских атак. Наиболее часто такие ошибки возникают на сервисах блогов, в онлайн-чатах и форумах, когда спамеры, пользуясь различными уязвимостями с программном обеспечении или скриптах начинают заполнять блоги и форумы массовыми рекламными сообщениями.

Также в TOP-5 уязвимостей вошли: публичные страницы, содержащие закрытые данные, SQL-инъекции, неверное разграничение прав доступа к разным частям сайтов, публичная доступность поисковых индексов и всех папок (в том числе и служебных), где находятся файлы, отвечающие за работу сайта.

Кроме того, в отчете White Hat также приводятся даные о том, что по статистике наибольшее количество уязвимостей содержатся на веб-представительствах розничных продавцов, страховых компаний, финансовых институтов, организаций здравоохранения и на сайтах ИТ-компаний.]]> Разное http://hack-articles.org/index.php?itemid=109 Sun, 30 Mar 2008 16:29:00 +0400 http://hack-articles.org/index.php?itemid=108
HP OpenVMS на HP Alpha с TCP/IP Services for OpenVMS v5.4 версии до ECO 7 HP OpenVMS на HP Integrity и HP Alpha с TCP/IP Services for OpenVMS v5.5 версии до ECO 3 HP OpenVMS на HP Integrity и HP Alpha с TCP/IP Services for OpenVMS v5.6 версии до ECO 2

Опасность: Средняя

Наличие эксплоита: НетОписание:

Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за неизвестной ошибки в SSH сервере. Удаленный пользователь может получить неавторизованный доступ к уязвимой системе.

URL производителя: h71000.www7.hp.com/network/tcpip.html

Решение: Установите исправление с сайта производителя.]]> Уязвимости http://hack-articles.org/index.php?itemid=108 Sun, 30 Mar 2008 16:27:42 +0400 http://hack-articles.org/index.php?itemid=107
Более того, британцы не исключают той вероятности, что какая-то более развитая чем люди цивилизация уже обнаружила нас, однако опять-таки из-за огромных расстояний Вселенной пока просто не достигла нас, но, возможно, и не достигнет.По прогнозу специалистов, развитие научной мысли и современной техники должно привести к тому, что в течении следующего десятилетия кто-нибудь из астрономов обнаружит внеземную жизнь. Это не обязательно будут существа, описанные в голливудских фильмах. Скорее всего, это будут микробы, растения или какие-то несложные органические формы, однако их наличие будет на 100% означать, что люди во Вселенной точно не одиноки.

Сегодня в Великобритании по приглашению британского министра науки Малкольма Уикса собрались ведущие британские и европейские астрономы из ряда университетов с целью обсуждения последних тенденций и прогнозов в деле поиска планет, которые могут служить "домом" для различных внеземных цивилизаций.

"Еще двадцать лет назад мы могли лишь изучать собственную Солнечную систему и заглянуть за ее пределы было почти невозможно. Однако с тех пор возможности науки шагнули очень далеко. На сегодня ученым достоверно известны более 200 планет, находящихся за пределами нашей системы и они вращаются вокруг своих звезд в своих системах" - говорит профессор Кейт Мейсон, руководитель научно-технического Совета Великобритании.

За последние два года ученые объявили об открытии планеты 581с и ее звезды Gliese 581. Тогда заголовки всех мировых СМИ облетела новость об обнаружении "второй Земли". На обнаруженной планете та же температура, что и на Земле, планета содержит воду, она находится на оптимальном расстоянии от звезды, да и прочие условия крайне благоприятны для возникновения жизни там.

Единственный минус находки заключается в том, что для того, чтобы совершенно точно сказать, есть ли жизнь на данной планете, необходимо отправить экспедицию или хотя бы автоматический зонд к этой планете, но расстояние от нее до Земли составляет почти 200 триллионов километров - совсем мало по меркам Вселенной, но невероятно много по меркам людей и техники, имеющейся на сегодня у нас.

Несмотря на всю свою похожесть с Землей, есть у 581с и различия. Во-первых, период ее обращения вокруг звезды составляет не 1 год как у Земли, а всего 13 дней. Во-вторых, сила гравитационного притяжения на этой планете в 1,6 раза больше земной. Кроме того, орбита планеты несколько вытянута, однако из-за того, что периоды вращения вокруг звезды и вокруг собственной оси у 581с совпадают, вероятно, на этой планете есть одна постоянно освещенная сторона и одна сторона в постоянной темноте.

Вместе с тем, астрономы говорят, что пока еще слишком рано говорить об обнаружении жизни за пределами Земли. Необходимо все данные еще неоднократно проверить. Специалисты поясняют, что сейчас обнаружено около десятка планет, которые потенциально могут содержать жизнь , и если проранжировать планеты по степени вероятности возникновения жизни, то 581с можно смело ставить на первое место.

"Я полагаю, что во Вселенной есть масса планет, похожих на Землю, однако содержат ли они жизнь - это совсем другой вопрос. Пока мы ни разу не видели представителей каких-либо внеземных цивилизаций" - говорит известный астрофизик Стивен Хокинг.

Еще бОльщую ясность в вопросы существования внеземной жизни должна внести европейская космическая миссия Darwin, запуск которой запланирован на 2015 год. Миссия Darwin будет представлять из себя группировку из четырех мощных телескопов, которые совместно будут беспрерывно наблюдать за глубинами Вселенной и при помощи новейших инструментов искать наиболее пригодные для жизни планеты.

По прогнозу астрономов, в 2015 году будет найдено около 500 планет за пределами Солнечной системы. 50 наиболее вероятных претендентов на наличие жизни и попадут под пристальный взгляд телескопов.

"Вы можете быть уверены, что где-то там есть жизнь, на сегодня есть все предпосылки так полагать. Наша собственная активность в космосе могла привлечь внимание какой-то развитой цивилизации. На протяжении почти 80 лет люди посылают в космос массы сигналов. За это время они могли распространиться на 80 световых лет, а ближайшие к нам звезды с потенциально обитаемыми планетами расположены ближе" - говорит Гленн Уайт, руководитель факультета астрофизики Университета Оупен и один из участников европейского проекта Darwin.]]> Разное http://hack-articles.org/index.php?itemid=107 Sun, 30 Mar 2008 16:26:09 +0400 http://hack-articles.org/index.php?itemid=106
В заявлении Microsoft сказано, что купленная компания обладает уникальными разработками в области управления разнородными данными, а также платформами по созданию информационных систем. В Microsoft намерены активно развивать разработки Stratature и интегрировать их как в серверные, так и в клиентские системы.В пресс-службе компании отмечают, что в ближайшее время предоставят более подробную информацию по сделке.

В свою очередь на сайте Stratature сказано, что все существующие клиенты могут обращаться за техподдержкой по всем решениям компанию в Microsoft.]]> Новости http://hack-articles.org/index.php?itemid=106 Sun, 30 Mar 2008 16:25:46 +0400 http://hack-articles.org/index.php?itemid=105
Продукты компаний Лаборатория Касперского, Grisoft и F-Secure и еще 7 производителей не смогли получить сертификацию VB100. Всего в июньском тесте приняли участи 37 производителей ПО, 10 из которых показали неудовлетворительные результаты.В частности в VB100 принимал участие Антивирус Касперского 6.0.2.261, который не смог обнаружить присутствие сетевого червя allaple. Вместе с тем, по словам старшего консультанта компании по технологиям Дэвида Эмма, сигнатура этого червя была добавлена в базы антивируса еще в феврале текущего года. Однако во время тестов компания как раз оптимизровала сигнатуры данного червя и поэтому его не было в базе антивируса.

Несмотря на это, в ЛК уверяют, что пользователи продукции компании не пострадали, так как набор Security Suite, предлагаемый компанией, включает межсетевой экран, а также антивирусные механизмы для поведенческого и эвристического анализа. Во время тестирования же проводились опыты на обнаружение вирусов на уровне ядро антивируса - антивирусные базы. "Несмотря на это, мы расстроены результатами тестирования, но по крайней мере, мы знаем, что клиенты не пострадали" - отмечает Девид Энн.

В свою очередь антивирус AVG 7.5 Professional Edition производства компании Grisoft не смог обнаружить один из вариантов трояна W32 agobot Trojan, интересно заметить, что а антивирусных базах сигнатуры трояна присутствовали. Однако антишпионская система, встроенная в продукт, смогла засечь данный троян.

"Программа имеет функцию сканирования кодов на входе в систему, однако в случае с данным трояном он проникал в компьютер и обнаруживался как только злонамеренный код начинал работать (т е пытаться связаться с удаленными узлами)" - поясняет Лерри Брайдвелл, эксперт по безопасности в Grisoft.

Вместе с тем, Брайдвелл заметил, что в систему техподдержки не обратился ни один клиент компании, однако "Grisoft разочарована результатами тестирования".

"Мы очень расстроены, однако хорошо, что продукт прошел такой авторитетный и профессиональный тест. В реальности не следует определять качество продукта, основываясь на одном единственном тесте" - говорит Брайдвелл.

Наконец, третьим антивирусом, не получившим сертификат VB100, стал F-Secure, который как и Антивирус Касперского не смог обнаружить сетевого червя allaple. В продукте F-Secure Protection Service for Customers 7.00 (build 387), предоставленном на тестирование, просто отсутствовали последние описания этого червя.

"В версии, использованной в тестировании, не содержались последние антивирусные базы, которые были к тому моменту только что выпущены. Продукт был протестирован в офлайне и у антивируса не было возможности скачать свежие данные, в обычных условиях пользователи уже обновили бы данные" - уверены в F-Secure.

Примечательно, что новые разработки Microsoft, продукты OneCare и его "бизнес-собрат" ForeFront получили последний сертификат VB100, несмотря на то, что все предыдущие тесты они постоянно "заваливали", чем вызывали насмешки многих журналистов отраслевых изданий.

Все тестирования велись в среде ОС Windows XP, пояснили в Virus Bulletin.

По словам Джона Хоуса, технического консультанта Virus Bulletin, всегда плохо, когда антивирусный продукт не может обнаружить вирус, пусть даже и на протяжении небольшого периода времени.

"Любое окно уязвимости, вне зависимости от того, насколько оно мало, является достаточным для того, чтобы заразить компьютер пользователя. Антивирусные вендоры добровольно отправляют продукты для сертификации и тестирования и я очень удивлен, особенно во время когда антивирусы обновляются ежечасно, столь большим количеством продуктов, не прошедших сертификацию. Все современные продукты должны быть в состоянии успешно проходить тесты и обеспечивать должный уровень защиты" - резюмирует Хоус.]]> Статьи http://hack-articles.org/index.php?itemid=105 Sun, 30 Mar 2008 16:25:26 +0400 http://hack-articles.org/index.php?itemid=104
Заплатить за Telelogic IBM намерена 5,2 млрд шведских крон (748 млн долларов США).

В IBM поясняют, что на базе продукции Telelogic намерены создать рад новых компонентов и систем для собственной среды разработчиков IBM Rational.Продукция Telelogic имеет довольно ограниченную популярность и лишь в среде профессионалов, так как ее разработки полезны при создании крупных программных продуктов с большими циклами разработки. Среди клиентов Telelogic числятся около 8 000 пользователе ее продукции в среде авиации, обороны, телекоммуникаций и индустрии электроники.

По мнению аналитиков, Telelogic скорее всего примет предложение IBM, хотя итогового ответа пока нет.]]> Новости http://hack-articles.org/index.php?itemid=104 Sun, 30 Mar 2008 16:24:11 +0400 http://hack-articles.org/index.php?itemid=103
Источник: Академия власти
Автор: Сергей Шевченко


Хакером №1 в мире считают американца Кевина Митника. Ему было предъявлено 23 обвинения в мошенничестве с использованием компьютерных систем. Суммарный срок по всем обвинениям составил бы 460 лет тюрьмы.
Даже среди самих мастеров компьютерного взлома не существует единства в определении понятий «хакер» и «хакерство». Сами хакеры в своем издании «Жаргон хакера» (в котором собрана вся история, традиции и информация о хакерах) выделяют восемь определений хакерства. Самое положительное из них формулируется так: хакер - это высококвалифицированный специалист, программист, энтузиаст, работающий ради самого процесса работы, стремящийся к совершенствованию своих знаний, умений. Так, одним из преимуществ «хакерских» программ считается их небольшой размер - лучшей считается самая короткая, простая программа. Среди хакеров даже проходят специальные соревнования по написанию таких программ.С другой стороны, свои блестящие умения хакеры часто направляют на порицаемые в обществе цели - взлом программ, кража денег, получение прибыли с этой деятельности. Здесь хакеров обычно сравнивают с преступниками (только уже в компьютерном мире), стремящимися испортить как можно больше информации (например, с помощью компьютерных вирусов), заработать деньги, взламывая банки.

Социальной средой активности хакеров исследователи чаще всего называют «андерграунд». А еще применяют такие слова как субкультура, и даже «система». Идеалами субкультуры хакеров являются «бесплатность и доступность любой информации, недоверие к властям и осознание прогрессивной роли компьютерных технологий».

Говоря о высоких интеллектуальных способностях, необходимо отметить и высокую познавательную мотивацию многих хакеров : часто «хакинг» совершается ради того, чтобы иметь возможность поработать на более мощном компьютере, посмотреть, как работает та или иная программа, узнать больше о том, как работают новые операционные системы или программы. Например, история появления компьютерных вирусов начинается с изобретения программы, которая позволяла программистам использовать ресурсы чужой машины, пока на ней никто не работает.

Хакерские подвиги

История хакерского дела на бескрайних славянских просторах, также имеет своих героев (по формулировке борцов за безопасность компьютерных сетей - антигероев).

О том, что наши компьютерные гении всегда являются желанными гостями США – страны, которая любит и умеет использовать чужой интеллект, хорошо известно. На эту тему можно вспомнит памятный диалог из фильма Алексея Балабанова «Брат-2», где участвуют потенциальный преступник с «прикрытием» и американский таможенник. «Цель Вашего пребывания в США ?» «Конференция по новым компьютерным технологиям». «Welcome to the USA !»

Исключения в столь любезном приеме составляют лишь те программисты из Украины и России, которые обоснованно или не очень, но подозреваются в хакерстве. Ведь, если вспомнить, то многие громкие взломы американских сетей – дело рук наших хакеров.

Так, ровно год назад, стало известно, что группа хакеров из России взламывала сайты крупных компьютерных компаний и шантажировала их руководство. При этом россияне требовали либо выкуп, либо помощь в поисках работы в США. Один из «экспертов» был настолько самоуверен, что даже посылал свое резюме с фотографией в те компании, которые собирался атаковать. Сотрудники ФБР поймали его на месте получения выкупа.

Традиционно хакеры считались врагами компьютерных систем безопасности, особенно в крупных корпорациях и государственных учреждениях, где вторжение может означать огромные убытки или потерю стратегически важной информации. Но времена меняются. Не секрет, что многие из них уже давно и успешно, подобно герою Ди Каприо из «Поймай меня, если сможешь» работают на американские компьютерные компании, лишь изредка вспоминая о бурной хакерской юности.

Несмотря на то, что западные компании все еще опасаются нанимать кого-либо с по-настоящему криминальным прошлым, они все чаще привлекают профессионалов экстра-класса из компьютерного «подполья» и не особенно допытываются, как им удалось достичь такого уровня. Официальное тестирование на устойчивость защиты программного обеспечения и корпоративных сетей - теперь это легальная (и высокооплачиваемая!) работа хакеров.

Реальностью становится то, что еще вчера было просто невероятным: в США и ряде других стран представители властей, сотрудники агентств безопасности и «вольные взломщики» встречаются вместе, чтобы обсудить вопросы, волнующие индустрию. Однако не стоит рисовать в воображении слишком романтичные картины ежедневных подвигов «рыцарей клавиатуры». Как и большинство компьютерной работы, будний день «новых хакеров» состоит в многочасовом сидении за монитором в поисках ошибок и слабинок.

Хакер №1

Хакером №1 в мире считают американца Кевина Митника. Он стал самым известным после Билла Гейтса человеком в компьютерном мире. Его не обошла вниманием даже Книга рекордов Гиннесса.

Кевин Митник родился в 1964 г. в Норт Хиллз, США. Уже в 16 лет талантливый подросток стал виртуозом хакинга. Свой первый хакерский подвиг он совершил, проникнув со школьного терминала в компьютерную систему управления школами округа. Характерно, что он не стал изменять оценки, хотя мог это сделать. Для него важен был сам факт, что он смог решить трудную задачу. В этом особенная черта Митника - он не использовал свои глубокие познания в области компьютерных технологий ради наживы.

В декабре 1987 г. Митника арестовали - по обвинению в краже компьютерных программ из Santa Cruz Operation; приговор - 3 года условно. Но не прошло и года, как последовал новый арест - за кражу частного компьютерного кода из исследовательской лаборатории Digital Equipment Corp. в Пало Альта. Ему дали год тюрьмы нестрогого режима, из которого восемь месяцев он провел в одиночной камере. Кроме того, судья Мариана Р. Пфельцер назначила ему принудительный шестимесячный курс лечения от «компьютерной зависимости», справедливо полагая, что хакер, лишенный возможности хакинга, будет испытывать психологические трудности. В качестве условия освобождения в 1990 году от него потребовали, чтобы он больше не притрагивался к компьютеру и модему. Его отпустили на испытательный срок.

В сентябре 1992-го ФБР получило ордер на обыск квартиры Митника в Калабасасе, штат Калифорния. Он подозревался, в частности, в несанкционированном проникновении в компьютеры калифорнийского Департамента транспортных средств. Власти считали также, что Митник приложил руку к взлому компьютерной системы Пентагона, а также проник к досье ФБР. Но больше всего их интересовало, кто ведет прослушивание телефонных разговоров служащих из отдела безопасности в Pacific Bell. Митнику эти расспросы не понравились, и он исчез на два с лишним года.

Признаки его существования стали выплывать на поверхность в середине 1994 года. Власти подозревали его в краже программного обеспечения для контроля сотовой связи из лаборатории компании Motorola. Также фирма «McCaw Cellular Communication» заявила, что кто-то похитил серийные электронные номера ее сотовых телефонов. Расследуя это заявление, ФБР выяснило, что последние три месяца Митник жил неподалеку от Вашингтонского университета и работал в местной больнице компьютерным техником. Однако тот успел скрыться.

Свой последний взлом хакер произвел 25 декабря 1994 года. Он ворвался в домашний компьютер Цутому Шимомуры, ведущего американского специалиста по компьютерной безопасности, известного, в частности, своими разработками по предотвращению вторжения в компьютерные системы.

Шимомура решил разыскать обидчика, который нанес ему личное оскорбление и поставил под вопрос его репутацию как специалиста. ФБР составило список подозреваемых, в котором Митник был одним из первых. Обнаружить хакера помог случай: администратор «The Well» заметил необычайную активность на одном из счетов. Было установлено круглосуточное наблюдение. С помощью команды помощников из ФБР и Национального агентства безопасности Шимомура терпеливо отслеживал все действия хакера и маршрут его компьютерных сообщений. Проанализировав пути сообщений, они пришли к выводу, что хакер находится в городе Ралейх, Северная Каролина. В конце концов, Митника засекли, и 15 февраля 1996 года он был арестован. Ему было предъявлено 23 обвинения в мошенничестве с использованием компьютерных систем. Прокурор заявил, что Митник виновен в нанесении ущерба на сумму, превышающую $80 млн., и потребовал для него от 8 до 10 лет тюрьмы. По подсчетам Associated Press, суммарный срок по всем обвинениям составил бы 460 лет тюрьмы. Благодаря усилиям адвоката 22 обвинения отпали, и осталось лишь одно, за которое Митник мог быть осужден всего лишь на 10 - 12 месяцев. Однако вскрывались все новые и новые факты, которые позволяли продлевать срок лишение свободы.

26 марта 1999 года судья Пфельцер согласилась на договоренность с защитой Митника, по которой полный срок заключения последнего будет равен 54 месяцам. Кевин Митник отсидел в тюрьме 4 года. В январе 2000 года он был освобожден из-под стражи досрочно, но по приговору суда ему было запрещено в течение трех лет устраиваться на работу, связанную с использованием компьютера, а также любых средств доступа в Internet. Срок действия этого запрета истек в январе 2003 г. Сегодня Кевин Митник пишет статьи и выступает консультантом ряда компаний.

Легенду хакерского дела в прессе называют «компьютерным террористом», «самым опасным парнем, который когда-либо садился за клавиатуру компьютера». Одни видят в нем образец для подражания, другие считают, что он не сделал ничего особенного. Сам же Кевин Митник, похоже, просто занимался и занимается тем, что ему нравится.]]> Статьи http://hack-articles.org/index.php?itemid=103 Sun, 30 Mar 2008 16:23:47 +0400