Прокси-сервер

Итак, подобно обычному грабителю, 'никакой настоящий хакер, побывав в чужом компьютере, не захочет оставить после себя следы, ко­торые могут привлечь к нему внимание. Перед уходом из системы он создаст в ней потайные ходы, поместив в систему клавиатурного шпиона, например, кейлоггера IKS. Или же установит в компьютер утилиту уда­ленного администрирования взломанной системы, например, трояна NetBus (http://www.netBus.org). Но после всего этого хакеру потребуется уничтожить все следы своего пребывания в системе или, как минимум, сделать так, чтобы информация о его посещении, зарегистрированная системой защиты, не позво­лила определить его личность.

Вот какие методы чаще всего используются взломщиками для сохранения ано­нимности и скрытия следов атаки:

• Самое лучшее - это использовать для хакинга в Интернете посторонние ком­пьютеры, доступ к которым не контролируется в должной степени (а таких компьютеров в любой организации - хоть пруд пруди).

• Можно подменить IР-адрес хакерского компьютера, использовав промежу­точный анонимайзер или прокси-сервер.

• Чтобы скрыть установленные на взломанном компьютере хакерские програм­мы, можно изменить стандартные номера портов этих программ, что затрудня­ет их выявление. Например, широко известная программа Back Orifice 2000 вместо стандартного порта 31337 может быть перенастроена на использова­ние, скажем, порта 31336, и программы, анализирующие открытые порты компьютера, могут быть введены в заблуждение.

• Обязательно следует очистить журналы регистрации событий безопасности, которые заполняются средствами аудита систем Windows NT/2000/XP. Чтобы отключить средства аудита, взломщик может прибегнуть к утилите auditpol пакета W2RK, или какой-нибудь другой хакерской утилите, например, eisave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Проще всего это можно сделать с помощью аплета Просмотр событий (Event Viewer) на па­нели управления Windows 2000/XP.

• Можно скрыть файлы и папки, скопированные во взломанный компьютер, установив в диалоге свойств файлов и папок флажок Скрытый (Hidden). Установка этого атрибута делает файл или папку невидимой в окне проводника Windows, если только не был установлен режим отображения скрытых файлов.

• Можно скрыть процессы, исполняемые хакерскими программами. Хакер может замаскировать запущенную им службу или программу, изменив ее имя на совершенно нейтральное, например, explorer.exe, которое в окне

диспетчера задач Windows можно будет спутать с обычным приложением проводника Windows.

• Более сложным являются случаи скрытия процессов хакерских программ за именами других процессов с помощью программ, подобных EliteWrap,.

• Наиболее совершенным методом скрытия хакерских программ следует счи­тать использование так называемых руткитов (от английского слова Rootkit -базовый комплект инструментов). При этом подлинные программы ядра опе­рационной системы подменяются хакерскими утилитами, выполняющими функции входной регистрации пользователей, ведения журнала нажатых кла­виш и пересылки собранных данных по сети.

Для противостояния таким трюкам существуют специальные программные средства контроля целостности компьютерной информации. В качестве примера можно назвать приложение Tripwire (http://www.tripwiresecurity.com), которое позволяет выполнять контроль целостности файлов и папок, и приложение Cisco Systems (http://www.cisco.com) для проверки и анализа содержимого журналов регистрации. Системы Windows 2000/XP также предоставляют встроенный инст­румент проверки целостности файлов.

Дата добавления: 2014-01-07; Просмотров: 518; Нарушение авторских прав?; Мы поможем в написании вашей работы!