Профессиональные администраторы сетей недолюбливают хакеров. Однако законопослушным системным администраторам может пригодиться знание их привычек и методов действий - например для обеспечения лучшей защиты сети.
Джеф Мосс включает одни и отключает другие соединения конференц-связи, отличает одного участника от другого и при этом каким-то образом добивается качества воспроизведения звука выше среднего. Такая способность сама по себе должна подсказать вам, что он, несмотря на видимую дружелюбность и безобидность, "прячет козырного туза в рукаве".
В конференции, к которой я был подключен, Мосс упрощал не только механику вызова, но и сам разговор между мной и, за неимением лучшего слова, врагом. Все участники, кроме меня, знали, как проникнуть в чужие компьютеры. Например, один из них, по прозвищу Гвоздь, с азартом рассуждал о взломе серверов Windows NT.
Для него Windows NT не столько операционная система с несколькими дырами, сколько отстойник, где все желающие могут парковать свои экскурсионные автобусы.
Три-четыре хакера - большие друзья Мосса, с которыми он постоянно общается. Каждый так и сыплет только им понятными шутками. Все они, как Юлий Цезарь, делают несколько дел одновременно во время разговора. Например, пока мы говорили, один из них работал с программой по определению незащищенных серверов Network News Transfer Protocol в Internet и за время нашей двухчасовой беседы обнаружил их порядка 300.
Как хакеры, они используют прозвища, а не настоящие имена. Я не смог разобрать всех прозвищ, и к тому же часто путал голоса. Наверняка я знаю только то, что Джеф Мосс известен в этих кругах как Dark Tangent.
СВЯТОЙ ИЛИ ГРЕШНИК?
Dark Tangent говорит, что он больше не занимается хакерством с тех пор, как начал вести ежегодную конференцию Las Vegas Defcon, одно из нескольких общенациональных собраний хакеров. Соответствующие органы знают, что Dark Tangent на самом деле Джеф Мосс, и они могут его очень легко выследить, поэтому он остается в рамках закона и действует как посредник в организации встреч между хакерами и теми, кто в них заинтересован. Хакеры любят разговаривать с журналистами (а иногда даже и с сотрудниками правоохранительных органов), потому что не прочь поговорить о своем "времяпрепровождении", а заодно и подыскать новые объекты для атак. Например, они не против узнать, какое оборудование будет наиболее популярным в типичной информационной системе в ближайшие год-два.
Как-то раз я спросил Мосса, поможет ли сетевым администраторам знание некоторых подробностей о деятельности типичных хакеров в защите их сетей. Какие секреты хакеров помогут не допустить их в сеть?
Несмотря на то что Мосс знает массу хакеров, он рассказал не очень-то и много о конкретных деталях. Тем не менее Мосс поведал немало любопытного о мире хакеров. В частности, он объяснил, что есть "старая школа" и "новая школа". К старой школе принадлежат хакеры вроде Стефана Леви (под этим подразумевается тип некриминального программиста, описанного в книге Леви "Хакеры"). Хакерам новой школы не так интересно, что как работает. Люди зовут их "сценаристами" (script kitties), поскольку они используют созданные более опытными хакерами сценарии для автоматизации атак на системы без необходимого понимания того, что, собственно, такой сценарий делает. Их девиз: "Дайте мне инструмент, и я взломаю систему".
Хакеры старой школы никому не приносят вреда, за исключением, может быть, некоторых подвернувшихся под руку простаков. Действия новичков гораздо менее предсказуемы и, по выражению Мосса, потенциально куда более разрушительны. Вообще говоря, умудренные опытом хакеры стараются по возможности не наносить ущерба системе. На самом деле, как утверждает Мосс, они иногда даже делают кое-что хорошее: "Жертвы хакеров догадываются, что кто-то входил в их систему с полномочиями супервизора, заметив, что система стала работать лучше. Например, хакер проник внутрь и заменил ядро на свое, но более надежное. Кроме того, он избавился от лишних журнальных файлов и исправил очереди на печать, потому что заинтересован в том, чтобы система работала хорошо, иначе кто-нибудь может случайно обнаружить присутствие постороннего при диагностировании той или иной рутинной проблемы".
Зимний выпуск 1997 года ежеквартального журнала хакеров "2600 Magazine" с тиражом 40 000 экз. также исповедует принцип "Не навреди". Во вступительной статье "Знание - сила" редактор пишет: "Мы должны быть очень осторожны, чтобы не поддаться соблазну настоящего преступления. Если вы ему поддадитесь, то дух приключений и открытий будет вытеснен жаждой наживы... не говоря уже о том, что вы превратитесь в низкопробную дешевку".
Этот призыв выражает этику хакеров, согласно которой основная мотивация хакера - это "приключения и открытия", а не злонамеренные действия. (Пример политической мотивации: www.2600.com/fur_hacked/fur.html) Тем не менее я бы хотел знать, насколько серьезно журнал воспринимает провозглашенный им самим принцип "Не навреди". Например, другая статья в зимнем выпуске содержит весьма подробное исследование смарт-карт типа телефонных карт и электронных кошельков. В ней вы найдете описание контактов, схемные диаграммы и подробные рекомендации по извлечению и повторному использованию кристаллов из карт различных типов. "Ответственность за использование этой информации в незаконных целях на совести преступника", - предупреждает вступительная статья. Несколькими страницами ниже вы можете найти детальную информацию о программном обеспечении, используемом в желтых трубках CAT (Craft Access Terminal), которые телефонисты применяют для тестирования телефонных линий. "Если красть CAT, то лучше в пятницу", - советует статья. Кража в пятницу хороша тем, что пароль будет действителен до следующего понедельника. Еще более ставит под сомнение искренность вступительного слова редактора низкопробная статья, в которой автор объясняет, как просто подключиться и прослушать чей-либо домашний телефон. Прочитав все это, я легко могу себе представить, что читателям журнала хакеров приходится постоянно бороться с "соблазном настоящего преступления".
ПРЕСТУПЛЕНИЕ И НАКАЗАНИЕ
Хотя "2600" и занимает весьма сомнительную моральную позицию, братство хакеров считает, что компьютерный истэблишмент вместе с ФБР и ЦРУ чересчур прямолинейно относится к хакерам: практически любое действие хакера рассматривается как преступление, за которое следует сажать в тюрьму. Многие из этих подвигов - "безвредные" нарушения, которые компьютерная контркультура не рассматривает как преступления.
Тезис о безвредности хакеров имеет по крайней мере две стороны. Во-первых, "нет вреда, нет и преступления". Во-вторых, это аргумент "добродетельный Давид против военно-промышленного Голиафа", который журналист Гарет Бранвин обнародовал в предисловии к опубликованному руководству хакеров под названием "Секреты суперхакера".
Согласно первому аргументу хакеров эксплуатация неиспользуемых компьютерных ресурсов нельзя рассматривать как кражу. Несмотря на то что ФБР и поставщики брандмауэров утверждают, что этот аргумент - просто нонсенс и что любое несанкционированное использование - это уже уголовное преступление, они не очень-то утруждают себя объяснением того, почему вполне безвредные нарушения являются преступлением. По сравнению с другими определения компьютерных преступлений весьма расплывчаты, а нарушителей привлекают к ответственности в основном за то, что они могли бы сделать, а не за то, что они сделали. В результате хакер наказывается просто за то, что он проник в систему, а не за то, что он в ней натворил.
Умышленно или из-за неосведомленности в заявлениях федеральных властей нанесенный хакерами вред чрезмерно преувеличен. Так, Кевин Митник был обвинен в нанесении ущерба на сумму 80 млн долларов, но представленные ФБР улики не подтверждают этого. Возможно (как в случаях, когда гангстеров сажают в тюрьму за уклонение от уплаты налогов, а не за убийство), Митник совершил гораздо больше того, за что правительство привлекло его к суду. Но сами хакеры относятся к этому иначе: они считают Митника скорее жертвой, нежели преступником.
Преследование Митника и других ему подобных свидетельствует о том, что правоохранительные органы пытаются пресечь вообще всякую деятельность хакеров, в частности потому, что их очень трудно поймать. Сначала деятельность известных хакеров подается в прессе в негативном свете, а потом их давят, как тараканов.
Аргумент "хакер - это библейский Давид" развенчать гораздо проще, в особенности если придерживаться мнения, что цель не оправдывает средства. В любом случае разница между атакой в целях публичной демонстрации того, как легко получить конфиденциальную медицинскую информацию о пациенте, и атакой в целях кражи схемы нового прибора весьма существенна.
НОВЫЕ УГРОЗЫ
Где-то между заявлениями об опасности хакеров типа Митника и кредо хакеров об исследовании мира без нанесения ему вреда лежит практический вопрос: насколько вероятен успех атаки против вас и что делать, если вы обнаружите хакера в своей информационной среде?
Хакеры старой школы весьма ограничили свою деятельность, сосредоточившись на оборудовании своем и других хакеров. Это, конечно, хорошо, но хакеры новой школы могут представлять реальную угрозу вашей компании. Если уж эти хакеры собрались проникнуть в вашу систему, то они хотят или в самом деле нанести вред, или достичь каких-либо иных результатов (например, найти код для санкционирования банковских переводов). Хакеры новой школы - с висящим над ними молотом закона - имеют больше оснований рассчитывать на компенсацию. Мы должны учитывать и другое следствие такого отношения: если один из этих парней почувствует, что мы его обнаружили, он разрушит все, что только можно, лишь бы замести следы.
Это возвращает меня назад к конференции. Я сказал: "Готов верить, что вы, ребята (приверженцы старой школы), вряд ли заинтересуетесь моей маленькой сетью, и что, если это все же произойдет, я не обнаружу при очередной регистрации в сети, что все мои файлы стерты, а моя финансовая информация выставлена в Internet. Но как насчет хакеров новой школы? Разве они не представляют угрозы?"
Один ответил мне, что, конечно же, представляют, другой - что такие хакеры просто читают группы новостей по защите и пытаются проникнуть через известные лазейки, которые какой-нибудь идиот не позаботился закрыть.
Так что знание - это уже наполовину выигранная битва за безопасность сети: хакеры уделяют много внимания разным заплаткам системы защиты, в то время как администраторы сетей их зачастую игнорируют. Если бы я ничего больше не узнал при подготовке этой статьи, я бы уяснил для себя по крайней мере следующее: хакеры весьма активно занимаются самообразованием, что не мешало бы делать и администраторам сетей.
Давайте вспомним опять вступительную статью "2600", где отмечается, что настоящему хакеру должен быть присущ "дух приключений и открытий". Хакеры весьма любопытны - даже чересчур, добавили бы мы. Руководство "Секреты суперхакера" подтверждает эту точку зрения. Так Рыцарь кошмаров, хакер, написавший это руководство, из породы тех, кто "просто хочет знать все, что происходит в этом мире".
Другими словами, если администратор сети ничего практически не будет знать о хакере, атаковавшем сеть, то уж сам хакер почти наверняка станет собирать всевозможную информацию об администраторе, а также о сети и компьютерах в ней, компании, владеющей сетью, ее сотрудниках и т. д.
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
Хороший хакер собирает информацию ревностно. Он делает это затем, чтобы проникнуть в намеченную систему, не вызывая подозрений. (узел Web, через который хакеры обмениваются информацией и советами: www.hackerz.org) Этот начальный сбор информации обычно не предусматривает применение снифферов и специализированного программного обеспечения или полночные вторжения в помещения (однако ничего из вышеперечисленного полностью исключать нельзя). Как правило, это случайно подслушанные разговоры или небрежно оставленные записки.
На языке компьютерного андерграунда социальная инженерия означает классическую тактику телефонных звонков в компанию от лица того, кто имеет право знать запрашиваемую информацию. Работа потенциального взломщика состоит в сборе отрывочных сведений с последующим их сопоставлением для извлечения информации, которая могла бы оказаться полезной для получения доступа к системе. Хакер начинает с выяснения, кто есть кто в руководстве намеченной им компании. Делать он это может, собирая выброшенные записки или с помощью звонков. Рыцарь кошмаров утверждает, что высшие должностные лица часто выбирают легко угадываемые пароли, дабы не утруждать себя их запоминанием, причем нередко они даже не сами их придумывают. Лично мне пришлось по крайней мере один раз задавать пароль для исполнительного директора, очень близкий к его реальному имени (по его настоянию, конечно), так что я могу с уверенностью утверждать, что это чистая правда.
Разумеется, конечная цель хакера - получение доступа к сети. Он может сделать это либо через общедоступную сеть (преимущественно Internet), либо по коммутируемой линии напрямую. Ввиду того что телефоны в одном и том же офисе обычно имеют одинаковый префикс, при последовательном переборе номеров он в конце концов наткнется на ответный сигнал модема. В большинстве штатов такие действия не являются незаконными. Они могут, конечно, насторожить телефонную компанию, но хакеру ничего не стоит перемежать подобные звонки с нейтральными, так что какую-либо закономерность выявить будет трудно.
Хакер может поступить еще проще: улучив момент, когда вахтер в вестибюле отлучится на время, он может зайти в офис с улицы под тем или иным предлогом (например, чтобы спросить, как найти какую-либо иную компанию в том же здании) и отыскать номер сетевого модема в оставленном на столе списке телефонов компании.
Зная номер модема и пару вероятных имен пользователей, хакер располагает достаточной информацией для обоснованного предположения регистрационного имени и пароля. В случае, даже если предположение окажется неверным, хакер может тем не менее получить некоторую дополнительную информацию о намеченной в жертву системе. Например, зная номер модема, он может позвонить и в большинстве случаев узнать, какого рода поддержку коммутируемого входа предлагает данная система. Как? По тому, как система отвечает на телефонный звонок.
Вооруженный этой информацией хакер может продолжить свой социальный инжиниринг. Например, он может позвонить кому-либо из персонала технической поддержки от имени сотрудника другого отдела компании и попросить его, якобы по поручению вице-президента (все тот же список телефонов), помочь войти в сеть по коммутируемой линии, так как удаленный офис не может связаться со штаб-квартирой. По утверждению хакеров, в половине случаев это срабатывает, и в результате хакер получает подробную инструкцию о входе в систему.
Процедура несколько проще, когда компания подключена к Internet. Точнее, она проще, если компания разрешает любой входящий трафик, - в той или иной мере это справедливо для очень многих фирм.
В случае, если хакеру не удастся найти дружелюбного сотрудника компании, который без лишних слов даст ему доступ к бюджету, он, как и раньше, может попытаться угадать пароль. Даже если вы постоянно напоминаете своим сотрудникам о важности выбора пароля, все равно наверняка найдется немало тех, кто возьмет для себя легко запоминающийся пароль. Особенно опасно то, что люди склонны использовать одни и те же пароли в самых разных ситуациях. Известно, что некоторые хакеры предлагают бесплатные услуги, закрытые паролем, только для того, чтобы посмотреть, какие пароли выберут пользователи. С высокой степенью вероятности не та, так другая пара имени пользователя и пароля подойдет и к атакуемой системе.
Проникнув в систему, хакер приступает к следующей фазе исследования. По выражению Рыцаря кошмаров, "проникновение в систему ничего не стоит, если вы оказываетесь в пустом домашнем каталоге с таким низким уровнем полномочий, что ничего интересного сделать просто невозможно. В таком случае вы должны попытаться поднять этот уровень до максимально возможного".
На данном этапе хакер может использовать более хитрые уловки для сбора информации о вашей системе. По меньшей мере, он имеет возможность установить, кто еще из сотрудников работает в системе и что они делают. В лучшем (для него) случае хакер может обнаружить, что некоторые бюджеты имеют простые пароли (например, принятые по умолчанию), и узнать, какие бюджеты имеют привилегии супервизора. С момента получения хакером прав супервизора атакуемая система оказывается полностью в его власти. В этом случае вам остается только уповать на то, что хакер принадлежит к старой школе.
УЧИМСЯ СЛУШАТЬ
Администраторам сетей может быть небезынтересно узнать и другие особенности поведения хакеров. Например, если опытные хакеры предпочитают не хвастать о конкретных взломах, они тем не менее любят порассуждать на тему защиты и ее недостатков. Один из способов получить такую информацию о хакерах - это заняться социальным инжинирингом. В конце концов, социальный инжиниринг применим к хакерам точно так же, как к любой другой категории людей, и администраторы сетей, чьи системы были атакованы, находили обидчиков, притворившись хакерами, ищущими информацию о своих собственных системах. Вне зависимости от того, как вы выйдете на контакт, если у вас появится шанс поговорить с хакером, то я бы настоятельно советовал вам удержаться от проповедей и внимательно слушать то, что хакер вам говорит; таким образом вы сможете узнать о некоторых потенциальных дырах в системе безопасности вашей сети.
Взять, к примеру, Гвоздя, одного из хакеров - участников конференции. Остальные не могли вставить и слова, когда он заговорил на любимую тему - Windows NT. Пары вопросов оказалось вполне достаточно, чтобы перевести беседу в нужное русло.
"В прошлом хакеры атаковали в основном Unix и VMS. Означает ли сравнительная неосведомленность хакеров в NT, что серверам NT в Internet пока ничего не грозит?" - спросил я.
"Возможно, что какое-то время да, но NT имеет столько дыр, что я сильно сомневаюсь", - ответил Гвоздь.
"Насколько NT представляет интерес для хакеров? Какие у нее есть недочеты?" - уточнил я вопрос.
"Ребята уже открыли некоторые существенные недоработки в NT. Например, клиент никак не может проверить, что он общается действительно с тем сервером, к которому обратился", - пояснил мой собеседник. Он подробно рассказал, как это обстоятельство может быть использовано для того, чтобы вклиниться между сервером и клиентом.
Гвоздь сделал еще много других интересных замечаний относительно Windows NT. Например, он утверждает, что клиента можно убедить в том, что тот имеет дело с сервером, не умеющим обрабатывать зашифрованные пароли, в результате клиент будет посылать пароли открытым текстом. Сервер же решит, что, должно быть, клиент не имеет средств шифрования, и поэтому пароль посылается в открытом виде. Это значительно упрощает атаку по методу грубой силы: не надо беспокоиться о правильности шифрования, потому что сервер примет предполагаемый пароль и так.
В целом хакеры, с которыми я говорил, считают, что вопросы безопасности Microsoft решила из рук вон плохо. Они обращают внимание на то, что компания старается не афишировать свои планы в отношении защиты и обнаруженные слабости. По общему мнению хакеров, такая политика замалчивания означает, что многие потенциальные пробелы в защите в типичной инсталляции Windows NT никогда не были ликвидированы, потому что обычный администратор сети просто ничего о них не узнает.
Что касается Novell, чья операционная система NetWare по-прежнему имеет наибольшую долю на рынке, хакеры ее попросту ни во что не ставят, поэтому у меня возникло сомнение, насколько серьезно мне следует относиться к самим хакерам, презрительно отзывавшимся о защите NDS. У меня создалось впечатление, что те хакеры, с которыми я говорил, никогда не пытались взломать систему Novell. С другой стороны, с первого же запроса в Yahoo я нашел несколько узлов с программным обеспечением в помощь тем, кто хочет попытаться взломать систему Novell. Насколько это ПО способно помочь - уже другой вопрос, и, честно говоря, "инструкции" по взлому системы Novell свидетельствовали скорее о слабом знании и понимании NetWare. Тем не менее хакеры постепенно накапливают информацию о дырах в защите NetWare и Windows NT, а с увеличением числа подключений этих систем к Internet они становятся гораздо более доступными.
Межсоединение различных типов систем, как через закрытые, так и через общедоступные сети, приветствуется почти всеми хакерами, с которыми я говорил.
"Это потому, что вы можете получить доступ к большему числу систем?" - спросил я Гвоздя.
"Да, но еще и потому, что все системы запрограммированы на доверие друг другу. Возьмем, к примеру, любую крупную компанию. Она имеет почти наверняка старый мэйнфрейм, от которого не хочет избавляться потому, что потратила в свое время слишком много денег, чтобы научить его считать балансы. Затем сеть NetWare, объединяющая ПК, чтобы каждый мог общаться с каждым. Теперь еще серверы NT. Администраторы же устанавливают программное обеспечение управления, чтобы все эти системы находились в одном доверительном домене. Таким образом, взломав сервер NT, вы получаете в свое распоряжение всю сеть. Зачем взламывать надежную защиту мэйнфрейма, если он доверяет серверу NT?"
"Вы весьма скептически относитесь к защите NT", - заметил я.
"Сказать по правде, я могу установить такой сервер NT, относительно которого я был бы спокоен, но это потому, что я знаю, в чем его слабость, - признался Гвоздь. - Проблема в том, что Microsoft не хочет публично обсуждать недоработки в NT. Кроме того, хакеры располагают исходным кодом NT, и, скажем так, непохоже, чтобы над защитой работали эксперты в этом деле. С другой стороны, защиту Unix испытывают на прочность уже много лет, и поэтому есть люди, знающие, как сделать ее непробиваемой. С одной стороны, на NT пока обращают мало внимания, а с другой - Microsoft не желает говорить о проблемах".
В предварительном нашем разговоре Джеф Мосс также упоминал о доступности исходного кода Windows NT. Специально подчеркивая, что он не видел этого кода, Джеф тем не менее утверждал, что Microsoft опустила все комментарии в разделах исходного кода, касающихся защиты. В ответ на мой вопрос о том, насколько это затрудняет его понимание, он только презрительно усмехнулся и даже пошутил: "Должно быть, они позвали кого-то из группы по разработке Excel для усовершенствования защиты".
ЗНАЙ СВОЕГО ВРАГА
Большинство компаний вряд ли сможет добиться желаемого уровня защищенности от хакеров. С одной стороны, информация о компьютерных системах, сетевых ОС и приложениях широко доступна. Кроме того, человеку по природе свойственны доверчивость и готовность помочь - добродетели, при определенных обстоятельствах способные обернуться против нас. Если вы отвечаете за защиту системы, один из способов обезопасить ее - это узнать кое-что о своих врагах и действовать против них их же методами. Например, хакеры тратят много сил и времени на поиски дыр в защите. Администраторам сетей следовало бы делать то же самое. В конце концов, вы не в силах изменить хакера, как не в силах изменить природу человека, но вы можете быть во всеоружии в случае атаки злоумышленников.
Роберт Ричардсон - независимый писатель и администратор собственного узла Small Office Tech, адрес которого www.smallofficetech.com.