LXF106:Темная сторона Linux

Материал из Linuxformat.

Перейти к: навигация, поиск

Содержание

Темная сторона Linux

Взламывать компьютеры могут не только плохие парни. Джон Брэндон откроет вам несколько способов обеспечения собственной безопасности с помощью инструментов с Той стороны.

Все мы наслышаны о мрачном и опасном мире хакеров – тема номера в прошлом выпуске была целиком посвящена безопасности, так что мы вовсе не закрываем глаза на угрозы. Но правда заключается в том, что хакерство – это совсем необязательно деятельность, отличающаяся жестокостью и бессердечием.

Ювал Бен-Ицхак [Yuval Ben-Itzhak], технический директор Finjan Security, стоит на передовой в борьбе с нарушениями безопасности.

Филип Вейтенс [Filip Waeytens] – старший консультант по безопасности, работающий над проектом Remote Exploit BackTrack.

Инструменты, используемые в недостойной и гнусной хакерской субкультуре, могут оказаться очень полезными, если вы – администратор, отвечающий за безопасность корпоративной сети, или предпочли бы не делиться с кем попало своим 3-мегабитным каналом в Интернет. Многие пользователи Linux экспериментировали с хакерством, чтобы убедиться в безопасности собственного компьютера, или загружали Linux-утилиты для взлома личного сервера, дабы показать, к примеру, что ключ WEP далеко не так безопасен, как WPA.

Хакерство – очень туманный термин; он используется для обозначения попытки взлома защищенного маршрутизатора, сетевого устройства, компьютера или сервера. Сегодня многие пользователи считают эту деятельность противозаконной, и результаты, выдаваемые Google по запросу ‘define:hacking’ только подтверждают это мнение.

«Юридическое определение [взлома чего-либо] – это «сначала пуля, потом – намерение», – объясняет консультант по безопасности Джастин Пелтьер [Justin Peltier]. – Сканирование портов и уязвимостей обычно считается допустимым, но как только происходит проникновение на другой компьютер – закон нарушен». «Могут быть некоторые разночтения в трактовке хакерства в законодательстве разных стран, – добавляет Торальв Дирро [Toralv Dirro], специалист по стратегии безопасности из McAfee Avert Lab EMEA в Гамбурге. – С технической точки зрения, это часто одно и то же. В ходе поиска имеющихся уязвимостей или неверных настроек, тест предпринимает попытку проникновения, чтобы обнаружить «дыру». Если она оказывается успешной, получается, что вы взломали машину». По большей части, говорит Дирро, определение хакерства зависит не от того, какими инструментами вы пользуетесь, а от того, предпринимаете ли вы попытку взлома, и насколько эта попытка удачна. Как выясняется, лучшие инструменты для хакеров реализованы в Linux, а не Windows или Mac OS X. Ни одна ОС не имеет такого многообразия утилит безопасности, как Linux. И, что еще важнее, у нас есть дистрибутивы, которые предоставляют все эти инструменты «в одном флаконе».

Конечно же, Linux опережает Windows и OS X и по количеству дистрибутивов и программ для этичного хакерства, которое также называют тестированием на проникновение. BackTrack 3 – бета-версия которого выложена на http://remote-exploit.org – явный лидер в этой сфере, хотя более старые дистрибутивы, такие как Operator и Metasploit, являют собой наиболее мощные из имеющихся инструментариев типа «все-в-одном». Дистрибутивы и пакеты делятся на определенные категории.

Что встречается в дистрибутивах

  • Сканеры Wi-Fi Такие программы, как Aircrack-NG и Kismet, взламывают шифры, применяемые в 802.11g. Обратите внимание, что в Великобритании незаконно даже пытаться влезть в защищенную беспроводную публичную сеть, например, хот-спот BT в Лондоне. (BT предоставляет как открытые общественные сети, так и закрытые частные для правительственных и бизнес-приложений). «Взломать WEP – пустяк, а вот чтобы вскрыть WPA с помощью Cowpatty, потребуется не только время, но и везение», – утверждает Пелтьер. «Cowpatty взламывает только WPA-PSK, но и на это может уйти несколько месяцев, и чтобы достичь успеха, необходимо захватить аутентификационный пакет».
  • Взломщики VPN Другие излюбленные хакерами инструменты могут проникать в соединение VPN – наиболее распространенный способ входа в частную сеть для корпоративных пользователей. В отличие от Windows, почти любой дистрибутив Linux – кроме тех, которые изначально задумывались как легковесные, навроде Fluxbuntu – включает в себя клиент IPSEC для создания защищенных соединений. «Имеется множество взломщиков VPN, как, например, Ikescan или Ikecrack, – говорит Филип Вейтенс, один из создателей BackTrack и старший консультант по безопасности. – Кроме того, VPN, работающей в режиме split-tunnel, могут воспользоваться трояны. Есть множество клиентов VPN для Linux, в том числе от таких производителей, как Cisco. Дистрибутивы вроде Astaro (http://www.astaro.org) также предоставляют VPN».
  • Вирусы и шпионское ПО Хотя сам по себе Linux не так восприимчив к вирусным атакам и воздействию шпионских программ, как Windows, все же он не является неуязвимым. Атаки на порты (когда хакер сканирует ваш компьютер на предмет наличия открытых портов, затем устанавливает на нем клиента, который будет рассылать спам или воровать данные) являются редкостью, но они все же возможны. Такие эксперты в области безопасности, как Ювал Бен-Ицхак, технический директор Finjan, советуют пользователям Linux как можно чаще устанавливать патчи. «Исправления безопасности могут быть разными – все зависит от проекта и сообщества», – считает он. Пелтьер сообщает, что патчи иногда довольно медленно проникают в сообщество Linux, и, кроме того, в Интернете очень легко найти весьма доступные версии устаревшего ПО с уязвимостями.

Как защитить ваш Linux?

Эксперименты с этичным хакерством в Linux и тестирование на проникновение могут раскрыть вам глаза на жестокий и путаный мир хакерства, и в точности покажут, что может сделать преданный конечный пользователь.

Например, мы успешно применили пакет Aircrack, разработанный Кристофом Девином [Christophe Devine] (http://download.aircrack-ng.org) для взлома маршрутизатора D-Link DIR-655 802.11n с простым WEP-ключом. На самом деле, это потрясающая картина: экран заполняют пакеты, и инструменты задействуют свое волшебство, а потом, буквально через несколько минут, вы получаете доступ к сетевому ресурсу. Да, потрясающе, по крайней мере, до тех пор, пока вы не осознаете, насколько это просто, и как уязвимо большинство машин – не говоря уже о том, что многие точки доступа и домашние беспроводные сети совершенно не предусматривают никаких мер предосторожности. Взламывая WEP-кключ, мы получаем полный доступ ко всем сетевым подключениям маршрутизатора.

Сделай сам

Защита в Linux – то, чем занимаются исключительно по собственному почину. Здесь не так много коммерческих продуктов, которые болтаются в системном лотке и защищают ноутбук от взлома или автоматически настраивают порты на брандмауэре. Главные усилия нужно сосредоточить на безопасности основной точки входа: беспроводном маршрутизаторе. Вейтенс из Remote Exploit рекомендует включить WPA2 и использовать ключ длиной не менее 12 символов верхнего и нижнего регистров, включая неалфавитно-цифровые (например, $ и ^). Вейтенс также напоминает, что фильтрация MAC-адресов и запрет на рассылку SSID вашей сети остановят только начинающих хакеров-любителей.

Конечно, чем более сильное шифрование используется на маршрутизаторе, тем сложнее запомнить ключ, и это вынуждает вас записывать его и вводить при каждом входе в домашнюю сеть. Эмпирическое правило гласит, что если вы можете запомнить свою парольную фразу, значит, она недостаточно хороша.

Непосредственно на компьютере Вейтенс рекомендует использовать инструменты обнаружения руткитов, например, Rootkit Hunter (http://www.rootkit.nl) и Chkrootkit (http://www.chkrootkit.org); включить персональный брандмауэр (в такие дистрибутивы, как SLED, они встроены «из коробки»); и использовать мощное антивирусное ПО, например, Vexira (http://www.centralcommand.com) и Panda Software Anti-Virus (http://www.pandasoftware.com).

Черные шляпы

Старый конь борозду попортит

Это очевидно, но все равно вызывает удивление, сколько пользователей цепляются за старые дистрибутивы, которые поколения на два отстают от современных. И хотя на некоторые из них можно поставить современные патчи, само наличие старого ПО служит для хакера знаком, что пользователь не отслеживает самые новые технологии безопасности и рассчитывает, что его компьютеру ничего не угрожает. Как только хакер получил доступ на вашу машину через руткит, не будет конца всяким неприятностям: спам, кража идентификационных данных, вирусы – все это может сделать Linux неработоспособным.

«Черная шляпа» – это злонамеренный хакер, чья цель – украсть код или подсадить вам вирус. А «белая шляпа» – это, соответственно, тот кто тестирует систему на проникновение, но при этом не собирается нарушать закон (названия пришли из старых вестернов 50-х годов, когда было легко отличить хороших парней от плохих). Впоследствии граница между «черными» и «белыми» шляпами стала размытой настолько, что порой уже невозможно отличить одних от других – сейчас даже появилось понятие «серая шляпа». По данным ФБР и Департамента внутренней безопасности США, неэтичным хакерством считается несанкционированное проникновение в систему при отсутствии законного права доступа к ней или незаконное получение кода, не санкционированное правительственным агентством или компанией. Если вы тестируете систему на возможность проникновения, обнаружили «дыру» и проверили, что это действительно эксплуатируемая уязвимость – вы становитесь взломщиком. Не вдаваясь в подробности, следует сказать, что некоторые эксперты несогласны с таким подходом: они считают, что акт выявления уязвимости злонамерен, а вот проведение тестов – нет. Однако, при определении хакерства, становится совершенно ясно одно: и черные, и белые шляпы пользуются в точности одними и теми же инструментами.

Различают три вида утилит, тестирующих системы на возможность проникновения. Первый тип – сканеры, которые просматривают сетевую конфигурацию и сообщают о наличии открытых и уязвимых портов. Второй вид подбирает пароли к серверу. Проводя подобный тест, «черная шляпа» потратит долгие часы или даже дни, пока не угадает пароль, открывающий доступ. Третий тип тестов подразумевает «полезную нагрузку», которая устанавливается в скомпрометированную систему. Эта программа заставляет сервер открыть порт в определенный момент времени, или поискать другие лазейки, которыми может воспользоваться хакер, даже если хозяева в будущем обнаружат и закроют текущую уязвимость. Как только нагрузка будет установлена, владельцу компьютера станет весьма затруднительно избавиться от нее, поскольку она обычно представляет собой руткит или же выглядит как вполне законная часть сетевого драйвера и ОС.

Пользовательские и корпоративные антивирусы зачастую бессильны против руткитов, так как последние изготавливаются «на заказ» под конкретную атаку и посему не всегда попадают в вирусные базы данных.

Теневой оператор

Основы этичного хакерства

Как только вы осознаете, что хакерством можно заниматься как по этичным причинам, так и со злыми намерениями, становится понятно, когда вы нарушаете закон. Эксперты по безопасности рассказывают о «последней миле» при тестировании системы безопасности, то есть об опасной зоне. Вы можете взломать собственную сеть или ноутбук, или попытаться проникнуть в домашнюю сеть своего друга или некой компании с их разрешения, но если вы пытаетесь влезть в общественную сеть или воюете с компьютером на парковке – это незаконно. Неважно, где вы и что вы делаете – в первую очередь, наведите справки о законодательстве, потому что незнание законов не освобождает от ответственности за их нарушение.

Один из самых почтенных дистрибутивов Linux для всех видов тестирования на проникновение – это Operator, который существует уже несколько лет, и успел обзавестись верными последователями, несмотря на то, что его создатель, Джеффри Барбер [Jeffrey Barber], бывший аналитик сетевой безопасности, уже давно переключился на другие вещи, и даже больше не работает в данной области.

«Я создал Operator, потому что у меня был собственный арсенал инструментов, и мне нужен был CD, с которого я мог бы загрузиться и получить их все сразу, – поведал Барбер Linux Format. – Operator был просто игрушкой. Но моим друзьям он понравился, и я приложил уси- лия к тому, чтобы им могли пользоваться другие люди, а потом станазывать его инструментарием безопасности. Наконец, Operator попал на на Slashdot.org».

Барбер объясняет, что в Operator есть три вида основных инструментов. Nikto сканирует сеть на предмет наличия уязвимостей на серверах и задействует SSL, чтобы проверить защищенность VPN; Nessus – программа аудита сетевой безопасности, которая сканирует компьютеры и ищет лазейки; а Metasploit – это инструмент тестирования на проникновение. Основная идея, используемая в Operator, такова: загрузить в компьютер программу, которая реплицирует уязвимость, и продемонстрировать, как хакеры могут воспользоваться этим черным ходом – в общем, доказательство концепции для менеджмента. В руках черной шляпы все три инструмента могут стать орудием взлома, хотя подобное редко является намерением тех людей, которые создают данные программы и занимаются их распространением. Все они, как правило, являются аналитиками по безопасности и системными администраторами.

«Я собрал дистрибутив сам, но он был бы совершенно бесполезен, если бы не люди, создающие инструменты безопасности, – говорит Барбер. – Operator давал мне средства для поиска уязвимостей. В то время я отвечал за безопасность системы и сети. Этот инструмент позволял мне легко и быстро убедить руковод- ство в том, что безопасности надо уделять больше внимания и воспринимать ее серьезнее».

На вопрос, не планирует ли он обновить Operator, добавив в него новые инструменты, Барбер ответил, что он решил заморозить дальнейшую разработку, чтобы Operator можно было и впредь использовать для тестирования возможностей проникновения на старых системах. Он говорит, что периодически беседует с экспертами по безопасности о хакерских атаках середины 90-х и о том, как тогда находили и залатывали «дыры». Его совет нынешним специалистам: обязательно используйте что-то вроде Operator для поиска возможностей проникновения и закрывайте уязвимости соответствующими способами, например, межсетевыми экранами, а также установкой патчей и обновлениями.

«Тестирование на проникновение никогда и никуда не денется, – говорит он. – Если вы – аналитик отдела безопасности, вы должны проводить эти тесты по крайней мере для того, чтобы не отставать от черных шляп – в противном случае вы просто проедаете деньги и зря теряете время». LXF

Торальв Дирро из McAfee

Linux Format запинговал Торальва Дирро из McAfee вопросами, чтобы заставить его поговорить о состоянии хакерских дел в Linux.

Linux Format: Как различить инструменты для этичного хакерства и взлома со злым умыслом?

Торальв Дирро: Инструменты для этичного хакерства – например, аудита безопасности или теста на возможность проникновения в систему с явного согласия владельца в строго законных рамках – в большинстве случаев, те же самые. Дело не в инструменте, а в том, как и с какими целями его используют.

LXF: Назовите, пожалуйста, несколько лучших дистрибутивов для тестов на проникновение. В чем уникальность каждого из них, и к чему они подходят наиболее оптимально?

ТД: Те, кто серьезно работают в данной области, обычно используют универсальный дистрибутив по своему выбору, и устанавливают или компилируют все нужные инструменты, обновляя их, когда это необходимо.

Есть несколько специализированных дистрибутивов, в которых собраны наиболее общие инструменты. Самый известный – BackTrack, Live CD, который был специально разработан для анализа безопасности. Другой пример – Knoppix Security Tools Distribution. Учитывая, что в разных странах законодательство трактует хакерские инструменты по-разному, следует всякий раз узнавать, допустимо ли использование того или иного приложения и дистрибутива.

LXF: Какие шаги надо предпринять в Linux, если вы, сидя в обычной кофейне, захотите проверить, можно ли взломать некий ноутбук?

ТД: Первый, и самый важный шаг – получить разрешение хозяина этого ноутбука, а также владельца сети – и сделать это до того, как вы загрузите какие-либо инструменты или запустите уже установленные программы. Опять же, не забудьте о местных законах.

LXF: Как вы думаете, почему Linux так часто встречается на компьютерах хакеров?

ТД: Наиболее очевидная причина – это доступность инструментов, которые легко можно настроить под определенные цели: компиляторы и все необходимое наличествует. За последние несколько лет все это стало доступным и для других платформ, поэтому на сегодняшний день вряд ли есть разница, что использовать: Linux, BSD, Windows или Mac OS X.

Личные инструменты
  • Купить электронную версию
  • Подписаться на бумажную версию