<! HTML DO DOCTYPE PBLICO "-//W3C// HTML DO DTD 4.0 Transitional//EN"> <!-- salvado de url=(0041)http://www.rootshell.com/docs/cracker.txt --> <HTML><CABEA> < contedo do META="text/html; charset=windows-1252" http-equiv=Contedo-tipo> < contedo do META="MSHTML 5.00.2614.3500" nome=GERADOR></CABEA> <CORPO><XMP>

    Tcnicas Adotadas Por ' Crackers De Sistema' Quando Tentando Invadir --------------------------------------------------------------------- Redes Particulares Sensveis ou Associadas.
                   ----------------------------------------



           Pelos consultores do Ltd De Solues De Segurana De Rede.
          Frontal-linha Time De Segurana De Informao (PUNHO), Dezembro 1998.



                    fist@ns2.co.uk http://www.ns2.co.uk




------------------------------------------------------------------------------ 0 ndices ------------------------------------------------------------------------------


   1.   Introduo 1.1 Somente que  vulnervel de qualquer modo?
   1.2 Perfil de um tpico ' cracker de sistema'

   2 Rede 2.1 metodologias de Rede adotadas por muitas companhias 2.2 Compreendendo vulnerabilidades em tais sistemas em rede

   3 O ataque si mesmo 3.1 Tcnicas utilizadas para 'manto' a localizao do attackers 3.2 probing de Rede e reunio de informao 3.3 Identificando confiada componentes de rede 3.4 Identificando componentes de rede vulnerveis 3.5 Aproveitando componentes de rede vulnerveis 3.6 Sobre ganho acessa para componentes de rede vulnerveis

   4 Abusando rede acessa e privilgios 4.1 Descarregando informao sensvel 4.2 Partindo outro confiado redes dos anfitries 4.3 Instalando backdoors e arquivos do trojaned 4.4 Tomando Nota De redes

   5 A melhora de segurana de rede total 5.1 Sugerida leitura 5.2 Sugerida ferramentas e programas



------------------------------------------------------------------------------ 1.0 Introduo ------------------------------------------------------------------------------

 
 Este papel branco foi escrito ajudar d administradores de sistemas e pessoal de operaes de rede uma viso dentro a ttica e metodologias adotadas por crackers de sistema tpico quando targeting redes grandes.

 Este documento est no um guia sobre como para seguro suas redes, embora isto deveria ajudar voc identifica segurana arrisca em seu ambiente em rede e talvez ajuda aponta quaisquer acidentes que esto esperando acontecer.

 Ns desejamos voc desfruta leitura este papel, e esperanosamente aprende um pequeno sobre como crackers opera nesse meio tempo!



 O Ltd De Solues De Segurana De Rede. BATA pessoal (fist@ns2.co.uk)



------------------------------------------------------------------------------ 1.1 Somente que  vulnervel de qualquer modo?
------------------------------------------------------------------------------


  Ambientes de computador Em Rede so utilizados todo dia por corporaes e vrios organisations. Redes de computadores permitem usurios para compartilhar quantias vastas de dados muitos eficientemente.

 Usualmente redes associadas no so projetadas e implementadas com segurana em mente, meramente funcionalidade e eficincia, embora isto  boa de um ponto de vista de negcios no curto-termo, problemas de segurana usualmente sobem mais tarde, que podem milhes de custo para resolver em ambientes mais grandes.

 A Maioria Das redes particulares sensveis e associadas trabalham em um cliente-servidor princpio, onde empregados usam workstations para conectar para servidores para que compartilham informao. Neste papel ns concentraremos em segurana de servidor, como a maioria do crackers vai sempre primeiro de servidores de alvo, o servidor  muito gostado de um 'centro' onde todo a informao  armazenada. Se um cracker pode ganhar unauthorised acessa para tal um servidor, o descanso dele trabalho  fcil.

  Festas Vulnerveis para grande-escala probes de rede usualmente inclue :

    Instituies Financeiras e bancos Governo De companhias do Pharmaceutical De provedores de servio Internet e Contratantes De agncias de defesa para vrias agncias do goverment corporaes Multinacionais


 Embora muitos destes ataques tomam lugar internamente (por usurios que tm authorised acessa separar das redes sensveis ou associadas j), ns estaremos concentrando nas tcnicas utilizadas quando invadindo tais redes inteiramente do exterior.

  Instituies Financeiras e bancos so probed e atacado em tentativas para comprometer fraude. Muitos bancos tm sido targeted desta forma, arriscando fundos monetrios vastos. Bancos fazem isto poltica no para permitir ser as vtimas de tais ataques externos porque eles certamente perdero clientes e confiam se ataques so publically sabido.

  Provedores de servio Internet so um alvo comum por crackers, como servidores do ISP esto facilmente acessveis da internet, e do ISP tem acessado para fibra grande conexes ticas que podem estar utilizadas por crackers para mover quantias grandes de dados atravs a internet. O ISP mais grande tambm tem bancos de dados de cliente, que usualmente contm informao do usurio confidencial tal como nmeros de carto de crdito, especifica e endereos.

  Companhias do Pharmaceutical so vtimas de principalmente tentativas de espionagem industriais, onde um time de vontade do crackers seja pagada quantias grandes em troca para roubada dados do pharmaceutical, tais companhias de droga freqentemente gastam milhes em pesquisa e desenvolvimento, e um muito pode ser perdido como um resultado de tal um ataque.

 Acima Do durado 6 anos, Governo e agncias de defesa nos Estados Unidos tm sido vtima para literalmente milhes de ataques originando da internet. Devido  segurana de informao baixa ora e as polticas de segurana fracas de tais agncias, segurana de informao tem tornada-se uma batalha do uphill, como governo e servidores militares esto constantemente sendo probed e atacado por crackers.

  Contratantes de Defesa, embora segurana ciente, so alvos ao crackers procurando classificado ou dados militares sensveis. Tais dados podem ento so 'vendidos em' por crackers para grupos estrangeiros. Embora unicamente um punhado destes casos tm sido publically sabido, tais atividades podem ocorrer em uma valor alarmante.

  Corporaes Multinacionais so exemplos do prime de vtimas de tentativas de espionagem industriais.  Corporaes Multinacionais tm escritrios baseados completo o mundo, e redes associadas grandes so instaladas em pedido aos empregados para ser capazes de compartilhar informao eficientemente.  Pessoal do NSS tem desempenhado penetration testa para corporaes multinacionais, e nossas descobertas em a maioria dos casos tm mostrados que muitos podido seja comprometido.

  Companhias do pharmaceutical Iguais, corporaes multinacionais operando em eletrnica, software ou computador-relacionadas indstrias, gastam milhes em pesquisa e desenvolvimento de novas tecnologias. Isto  muito tentadodo para um competidor de tal uma corporao, para empregar um time de ' crackers de sistema' para roubar dados de uma corporao de alvo. Tais dados podem ento esto utilizados para rapidamente e facilmente melhoram o conhecimento de competidores de tecnologias chaves, e resultam em perdas financeiras da corporao de alvo.

 Outro forma de ataque adotado por competidores de corporaes, est para 'toma nota de' uma rede associada para uma quantia certa de tempo, este resultados em perda de salrio  corporao de alvo. Em a maioria dos casos isto est extremamente difcil para localizar a fonte de tal um ataque. Contando Com o segmentation de rede interno em lugar, esta espcie de ataque pode estar enormemente efetivo e resulta em perdas financeiras macias.

 Tal ' jogo sujo'  lugar comum em sociedade em rede de hoje, e deveria seria tomar muita seriamente.



------------------------------------------------------------------------------ 1.2 Perfil de um tpico ' cracker de sistema' ------------------------------------------------------------------------------


 Estudos tm mostrados aqueles tpicos uns ' cracker de sistema' est usualmente masculino, envelhecido entre 16 e 25. Tal crackers usualmente torna-se interessado em invadir mquinas e redes para que melhoram suas habilidades partidas, ou para usar recursos de rede para seus prprios propsitos. A Maioria Do crackers esto completamente persistente em seus ataques, isto  devido  quantia de tempo livre um cracker mdio tem.


 Uma alta porcentagem de crackers so oportunistas, e correm scanners para checar nmeros macios de anfitries para vulnerabilidades de sistema remotas. Sobre identificar os anfitries ou redes que so vulnerveis para ataques remotos, o cracker usualmente ganhar raiz acessa ao anfitrio, ento instala um backdoor e remenda o anfitrio de vulnerabilidades remotas comuns, isto previne outro crackers de existncia capaz para usar as mesmas tcnicas populares para ganhar acesso ao anfitrio.

 Oportunistas operam em primeiramente dois domnios, a primeira existncia a internet, as segundas redes de telefone de existncia.

 Para examinar os anfitries internet para vulnerabilidades remotas comuns, o cracker usualmente lanar uma operao examinada de um anfitrio que ele tem acessado para com uma conexo rpida  internet, usualmente em uma fibra-tica conexo.

 Para examinar para mquinas operando em redes de telefone, sendo servidores terminais, boletim hospeda sistemas, ou voz envia sistemas. O cracker usar um programa do wardialling, esta vontade automaticamente examina quantias grandes de nmeros de telefone para 'carregadores', assim identificando tais sistemas.


 Uma muita pequena porcentagem de crackers realmente define alvos e tentam atacar eles, tal crackers esto longe mais hbis, e adotam 'incisivos-margem' tcnicas para comprometer redes. Isto  conhecido para esses tipos de crackers para atacar redes associadas que so firewalled da internet por explorar no-publicadas vulnerabilidades e 'recursos' no firewalls.

 As redes e hospeda targeted por esses crackers usualmente tem dados sensveis contidos dentro eles, tal como pesquisam e notas de desenvolvimento, ou outros dados que provaro tis ao cracker.

 Tal crackers so tambm conhecido de tem acessado explorar e ferramentas utilizadas por consultores de segurana e companhias de segurana grandes, e ento uso eles para examinar definido alvos para todo sabido vulnerabilidades remotas. Crackers que esto atacando anfitries especficos esto tambm usualmente muito paciente, e tem sido conhecido gastar muitos meses juntando dados antes tentar ganhar acesso para um anfitrio ou rede.



------------------------------------------------------------------------------ 2.1 metodologias de Rede adotadas por muitas companhias ------------------------------------------------------------------------------


 Uma vontade de corporao tpica tem uma presena internet aos seguintes propsitos :

   O hospedado de E-mail Do webservers associado e outras comunicaes globais via. a internet Para dar os empregados acesso internet


 Do NSS DE corporaes tem desempenhado penetration de rede testa da internet para, um ambiente em rede  adotado onde a rede associada e a internet so seperated por firewalls e proxies de aplicao.

 Em tais ambientes, o webservers associado e mailservers so usualmente guardados nos 'exterior' da rede associada, e ento informao  passada via. confiado canais sobre a rede associada.

 No caso de confiana apresenta entre o mailservers externo e hospeda na rede associada, uma bema-pensamento filtro poltica tem colocar dentro efeito, como usualmente o mailservers externo deveria unicamente ser capaz de conectar para porta 25 de um solteiro 'seguro' mailserver na rede associada, como esta vontade maciamente minimise a probabilidade de acesso do unauthorised, mesmo que o mailserver externo  comprometido.

 Um Dos NSS DE redes associado tem desempenhado penetration testa em tambm teve um punhado de 'dual-homed' anfitries, esses anfitries tiveram interfaces de rede ativas em ambas a internet e a rede associada. De um ponto de vista de segurana, tais anfitries que operam em redes mltiplas podem posar uma ameaa macia para segurana de rede, como sobre comprometer um anfitrio, isto ento substitui um simples 'ponte' entre redes.



------------------------------------------------------------------------------ 2.2 Compreendendo vulnerabilidades em tais sistemas em rede ------------------------------------------------------------------------------


 Na internet, uma corporao pode tem 5 webservers externo, 2 mailservers externo, e um firewall ou filtro sistema implementado.

 Webservers esto usualmente no atacado por crackers desejando ganhar acesso  rede associada, a menos que o firewall  misconfigured em algum caminho que permitir o cracker acessa  rede associada sobre comprometer o webserver. Embora isto est sempre bom practise para seguro seu webservers e corre TCP wrappers para festas para conectar ao telnet e portas de ftp.

 Mailservers esto comumente targeted por crackers desejando ganhar acesso  rede associada, como um mailserver deve tem acessar ao mailservers na rede associada para que distribue e troca correspondncia entre a internet e a rede associada. Outra Vez, contando com o filtro em lugar, este tactic pode ou efetivo em parte do cracker.

 Filtro routers esto tambm comumente targeted por crackers com agressive-snmp scanners e fio de comunidade bruto-fora programas, se tal um ataque  efetivo, o router pode facilmente ser virado uma ponte, assim permitindo unauthorised acessa  rede associada.


 Nesta espcie de situao o cracker avaliar exatamente que anfitries externos ele tem acessado para, e ento tentativa para identificar quaisquer espcies de confiana entre a rede associada e os anfitries externos. Portanto se voc instala TCP wrappers em todo seus anfitries externos, que definem que unicamente festas confiadas podem conectar s portas do critical de seus anfitries, que esto usualmente :

   ftp (21), ssh (22), telnet (23), smtp (25), especificado (53), pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).


 SMTP, especificado e portmapper deveria seria filtro portanto contar com papel do anfitrio est na rede.

 Tal filtro tem sido proven para maciamente reduzimos o risco de um ataque na rede associada.


 Nos casos de redes com no limpam 'associadas  internet' poltica de segurana de rede, mltiplos-homed anfitries e misconfigured routers existir.
 Uma falta de segmentation de rede interno vai tambm usualmente existe, isto faz isto um muito mais fcil para um cracker baseado na internet para ganhar o unauthorised acessa  rede associada.

  mapping de rede Associado pode facilmente ocorrer se servidores do DNS externos so misconfigured, como NSS tem desempenhado penetration testa onde ns temos sido capazes de para mapa a rede associada via. tal um servidor do misconfigured DNS, por causa deste, isto  muito importante que DNS no existe entre os anfitries na rede associada e anfitries externos, isto est longe mais seguro para simplesmente usa IP enderea conectar para mquinas externas da rede associada e vice-versa.

  Anfitries Inseguros com interfaces de rede ativas em redes mltiplas podem ser abusadas ganhar acesso  rede associada muita facilmente.
 O anfitrio inseguro faz no at mesmo tem comprometer. Isto  muito fcil para abusar um daemon de dedo em tal um anfitrio que permite transmitindo.. como usurios, hospeda e outra informao de rede pode ser colecionada identificar facilmente exploitable hospeda na rede associada, o sistema operacional de um anfitrio pode at mesmo ser determinado em muitos casos por emitir um dedo solicita para root@host, bin@host e daemon@host. 


 Algum crackers esto agora comeando adotar tcnicas com respeito s 'wardialling' de localizaes associadas, tal como construindo e centros de operao de rede.

 Se um cracker foi encontrar e ento compromisso um servidor terminal associado, ele poderia usualmente ter um grau de acesso  rede associada, assim totalmente desviando qualquer firewalls ou filtro aquele seperate a rede associada da internet. Isto est portanto muito importante para identificar e assegura a segurana de seus servidores terminais, registrando de conexes para tais servidores est tambm fortemente aconselhado.


 Quando tentando compreender vulnerabilidades em sistemas em rede, um ponto chave para recordar, est confiando entre os anfitries em sua rede. Um Ou Outro atravs do uso de TCP wrappers, hosts.equiv arquivos, .rhosts ou . arquivos do shosts, muitas redes mais grandes so comumente atacadas por explorar a confiana entre os anfitries.

 Por Exemplo, se um attacker usa um CGI explora ver seu hosts.allow arquivo, ele pode achado que voc todas conexes para seu ftp e portas do telnet de *.trusted.com. Certamente, o attacker pode ento ganho acessa para qualquer anfitrio em trusted.com, e ganha acesso para seus anfitries facilmente.

 Para essas razes, isto est sempre uma boa idia para assegurar que confiada anfitries esto igualmente seguros de ataque remoto.


 Um outro ataque que deveria seria mencionar,  a instalao de troianos e backdoors nos anfitries associados (tal como Windows 95/98 mquinas), se os empregados tm acesso internet atravs de usar um proxy de aplicao e um firewall, ento eles vo s vezes visita 'warez' sites para descarregar software do pirated.

 Tal 'warez' sites usualmente tm software do screesaver, e outros utilitrios em oferecem, que em alguns casos contm programas do cavalo de troiano, tal como o Culto da Vaca Morta ' troiano de Orifcios Posteriores. Sobre a instalao do screensaver, o troiano infesta si mesmo dentro registro da mquina e est correndo todo tempo as botas de mquina.

 No caso do troiano do BO, plugins pode ser aplicado ao troiano para fazer a mquina desempenha operaes certas automaticamente, tal como conectam para servidores do IRC e unem canais, e o gostado de. Isto pode provar muito perigoso, como uma mquina do trojaned em sua rede associada podia facilmente ser controlada por alguma na internet.

 O troiano do BO est infinitamente mais efetivo se o cracker j tem acessado  rede associada, um ou outro porque ele  um empregado ou tem unauthorised acessa aos anfitries associados. O troiano do BO podia ser instalado em todo Windows nico 95/98 mquina em uma matria de semanas se o cracker usa a estratgia correta, depois que ele ter controle remoto total acima das mquinas em pergunta, incluindo existncia capaz para manipular arquivos, mquinas do reboot e formato par dirige, inteiramente remotamente.



------------------------------------------------------------------------------ 3.1 Tcnicas utilizadas para 'manto' a localizao do attackers ------------------------------------------------------------------------------


  crackers Tpico usualmente usar as seguintes tcnicas para esconder seu endereo do IP verdadeiro :

   - Bouncing atravs de previamente anfitries comprometidos via. telnet ou rsh.
   - Bouncing atravs do windows hospeda via. Wingates.
   - Bouncing atravs dos anfitries usando misconfigured proxies.


 Se tal um cracker tem um modelo de sempre examinando seus anfitries de previamente mquinas comprometidas, wingates ou proxies, ento isto  aconselhvel para contactar o administrador da mquina por telefone, e notifica ele dos problemas em mo. Nunca e-mail um administrador em tal um caso, porque o cracker pode simplesmente interceptar o e-mail de antemo.
 

 O mais talented crackers que so hbil em invadir os anfitries via.
  trocas de telefone, podem uso as seguintes tcnicas :

  - Bouncing atravs de '800-number' telefone particular troca antes conectar para um ISP usando um 'cracked, 'phished' ou ' conta do carded.

  - Conectando para um anfitrio por telefone, que est em volta conectada  internet.



 Crackers adotando as tcnicas de bouncing atravs de redes de telefone antes conectar  internet esto extremamente duras para seguir a pista abaixo, porque eles podiam estar literalmente em qualquer parte no mundo. Se um cracker foi usar um '800-number' dialup, ele podia discar dentro mquinas globalmente sem ter preocupar sobre o custo.



------------------------------------------------------------------------------ 3.2 probing de Rede e reunio de informao ------------------------------------------------------------------------------


 Antes valor fora para atacar uma rede associada da internet, um cracker tpico desempenhar algum probes preliminar de suas redes anfitries externos apresentam na internet. Um cracker tentar ganhar externo e hostnames interno por usar as seguintes tcnicas :

   - Usando nslookup para desempenhar 'ls <domnio ou rede>' solicitaes.
   - V o HTML em seu webservers para identificar quaisquer outros anfitries.
   - V os documentos em seus servidores de FTP.
   - Conecta para seu mailservers e desempenha 'expn <usurio>' solicitaes.
   - Manuseia usurios em seus anfitries externos.


 Crackers usualmente tenta juntar informao sobre o layout de sua rede si mesmo primeiro como oposto identificar vulnerabilidades especficas.

 Por olhar resultados das perguntas listadas acima, isto est usualmente fcil para um cracker para construir uma lista de anfitries e comeam compreender os relacionamentos que existem entre eles.

 Quando desempenhando esses probes preliminar, um cracker tpico far muitos pequenos erros e s vezes usam seu possuem IP para conectar para portas de suas mquinas para checar verses de sistema operacional e outros pequenos detalhes.

 Se seus anfitries so comprometidos, isto  uma boa idia para checar seu FTP e HTTPD registra  presena de quaisquer solicitaes estranhas.



------------------------------------------------------------------------------ 3.3 Identificando confiado componentes de rede ------------------------------------------------------------------------------


 Crackers espera confiado componentes de rede para atacar, um componente de rede confiado est usualmente uma mquina de administradores, ou um servidor que  considerado como seguro.

 Um cracker empreender por checar o NFS exporta de qualquer de suas mquinas nfsd que corre ou mountd, o caso sendo aqueles diretrios do critical em alguns de seus anfitries (tal como /usr/bin, /etc e /casa por exemplo) pode ser mountable por tal um anfitrio confiado.

 O daemon de dedo  freqentemente abusado identificar confiado anfitries e usurios, sendo usurios que freqentemente registram dentro a mquina dos anfitries especficos.

 O cracker vai ento checa suas mquinas para outros formulrios de confiana, se ele pode explorar uma mquina usando uma vulnerabilidade do CGI, ele pode ganho acessa para uns anfitries /etc/hosts.allow arquivo, por exemplo.

 Depois analysing os dados dos acima checa, o cracker comear identificar confiana entre os anfitries. O prximo passo ao cracker est identificar quaisquer anfitries confiados que so vulnerveis para um compromisso remoto.



------------------------------------------------------------------------------ 3.4 Identificando componentes de rede vulnerveis ------------------------------------------------------------------------------


 Se um cracker pode construir listas de seu externo e anfitries internos, ele usar Linux programa tal como ADMhack, mscan, nmap e muitos scanners menores para examinar para vulnerabilidades remotas especficas.

 Usuaully tais examinados de sua vontade dos anfitries externa seja lanada de mquinas em conexes fibra-ticas rpidas, ADMhack requer correr como raiz em uma mquina do Linux, assim um cracker provavelmente usar uma mquina do Linux que ele tem ganho unauthorised acessa para e propriamente instalado um 'rootkit' em. Tal um 'rootkit'  utilizado para binrios de sistema do backdoor critical para permitir o unauthorised e undetectable acessa ao anfitrio.

 Os administradores de sistemas dos anfitries que so utilizados para examinar os anfitries associados externos usualmente tm nenhuma idia que examina esto sendo lanados de suas mquinas, como binrios tal como 'ps' e ' donetstat so trojaned para esconder examinando processos.


 Outros programas tal como mscan e nmap no requer correr como raiz, e assim pode ser lanada do Linux (ou outras plataformas no caso de nmap) hospeda para efetivamente identifica vulnerabilidades remotas, embora esses examina so mais lentas, e podem no usualmente esto bemas muitas ocultas (como o attacker no necessita raiz acessa ao anfitrio como com o ADMhack).


 Ambos ADMhack e mscan desempenha os seguintes tipos de checa nos anfitries remotos :

  - Um TCP portscan de um anfitrio.
  - Um dump dos servios do RPC correm via. portmapper.
  - Uma listagem de exportaes apresentam via. nfsd.
  - Uma listagem de aes apresentam via. samba ou netbios.
  - dedo Mltiplo solicita identificar contas de default.
  - vulnerabilidade do CGI examinando.
  - Identificao de verses vulnerveis de daemons de servidor, incluindo Sendmail, IMAP, POP3, condio do RPC e RPC mountd.


 Programa tal como SATANS esto raramente utilizado por crackers hoje em dia, como eles so lentos.. e examina para vulnerabilidades obsoletas.

 Depois ADMhack que corre ou mscan nos anfitries externos, a vontade do cracker tem uma boa idia de anfitries seguros ou vulnerveis.

 Se routers esto apresentando que so SNMP capaz, o mais crackers avanado adotar agressive-snmp examinando tcnicas para tentar e ' fora de bruto' os fios de comunidade particulares e pblicos de tais dispositivos.



------------------------------------------------------------------------------ 3.5 Aproveitando componentes de rede vulnerveis ------------------------------------------------------------------------------


 Assim o cracker tem identificado quaisquer anfitries externos confiados, e tambm identificados quaisquer vulnerabilidades nos anfitries externos. Se quaisquer componentes de rede vulnerveis foram identificados, ento ele tentar comprometer seus anfitries.

 Um cracker paciente no comprometer seus anfitries durante horas normais, ele usualmente lanar um ataque entre 9pm na noite e 6am a prxima manh, esta vontade reduzimos o likelyhood de qualquer um sabendo sobre o ataque, e d o cracker tempo amplo para instalar o backdoors e sniffers em seus anfitries sem ter preocupar sobre a presena de Administradores De Sistemas.

 A Maioria Do crackers tem um grande acordo de tempo livre acima de fins-de-semana, e ataques so usualmente lanados ento.

 O cracker comprometer um externo confiado anfitrio que pode estar utilizado como um ponto de que para lanar um ataque na rede associada. Contando Com o filtro entre a rede associada e os anfitries associados externos, esta tcnica pode ou.

 Se o cracker compromete um mailserver externo, que na verdade tem acesso total para um segmento da rede associada interna, ento ele pode comear trabalho em embutir ele mesmo fundamente dentro sua rede.

 Para comprometer a maioria dos componentes em rede, crackers usar programas para remotamente exploram verses vulnerveis de daemons de servidor continua anfitries externos, tais exemplos incluem verses vulnerveis de Sendmail, IMAP, POP3 e servios do RPC tal como statd, mountd e pcnfsd.

 A Maioria Das faanhas remotas utilizadas por crackers so lanadas de previamente anfitries comprometidos, como em alguns casos eles necessitam compilar na mesma plataforma como o anfitrio eles esto estar utilizados para explorar.

 Sobre executar tal um programa remotamente para explorar um daemon de servidor vulnervel continua seu anfitrio externo, o cracker usualmente ganhar raiz acessa para seu anfitrio, que na verdade pode ser abusado ganhar acesso para outros anfitries e a rede associada.



------------------------------------------------------------------------------ 3.6 Sobre ganho acessa para componentes de rede vulnerveis ------------------------------------------------------------------------------


 Depois explorando um daemon de servidor, o cracker comear um 'limpo-para cima' operao de falsificao seus anfitries registra e ' binrios de servio do backdooring assim ele pode acessar o undetected do anfitrio mais tarde.

 Primeiro ele comear implementar o backdoors, assim ele pode mais tarde acessar o anfitrio. A Maioria Do backdoors que uso do crackers so precompiled, e tcnicas so adotadas mudar a data e as permisses do binrio que tem sido backdoored, em alguns casos, at mesmo o filesize do novo binrio  o mesmo como o binrio original. Attackers ciente de FTP transfere registros podem uso o 'rcp' programa copiar o backdoored programa hospedar.

 Isto  improvvel que tal um cracker invadindo uma rede associada comear remendar seus anfitries de vulnerabilidades, ele vai usualmente unicamente instala backdoors e binrios de sistema do critical de troiano tal como 'ps' e 'netstat para esconder quaisquer conexes ele pode faz para e do anfitrio.

 Os seguintes binrios do critical esto usualmente backdoored no Solaris 2.x mquinas :

   /usr/bin/login /usr/sbin/ping /usr/sbin/in.telnetd /usr/sbin/in.rshd /usr/sbin/in.rlogind


 Algum crackers tem tambm sido conhecido colocar um .rhosts arquiva no /usr/bin diretrio para permitir depsito remoto acessa ao anfitrio via. rsh e csh em modo interativo.

 A prxima coisa que a maioria do crackers est checar o anfitrio para qualquer presena de registrar sistemas que podem tm registrados suas conexes ao anfitrio, ele vai ento continua editar tais conexes fora de quaisquer registros encontrados no anfitrio. Isto  aconselhvel para registrar para um lineprinter se a mquina  muita provavelmente para ser um alvo do prime de um ataque, como isto faz isto extremamente difcil ao cracker para editar ele mesmo dos registros.

 Sobre assegurar que sua presena no tem sido registrada em qualquer caminho, o cracker continuar invadir a rede associada. A Maioria Do crackers vai no mais ambas vulnerabilidades exploradas em outros anfitries externos se eles tm acessado  rede interna.



------------------------------------------------------------------------------ 4.1 Descarregando informao sensvel ------------------------------------------------------------------------------

 
 Se meta do cracker est descarregar informao sensvel de servidores de FTP ou webservers na rede associada interna, ele pode fazer assim do anfitrio externo que est agindo como um 'ponte' entre a internet e rede associada.

 Entretanto, se meta do cracker est descarregar informao sensvel segurada dentro internamente anfitries em rede, ele continuar tentar ganhar acesso para eles por abusar a confiana com o anfitrio externo ele j tem acessado para.


------------------------------------------------------------------------------ 4.2 Partindo outro confiado anfitries e redes ------------------------------------------------------------------------------


 A Maioria Do crackers simplesmente repetir os passos aceitados sees 3.2, 3.3, 3.4 e 3.5 ao probe e ganha acesso para hospedar na rede associada interna, contando com que o cracker est tentando alcanar, troianos e backdoors pode ou em seus anfitries internos.

 Se o cracker deseja alcanar rede total acessa aos anfitries na rede interna, ele instalar troianos e backdoors e remove registros como em seo 3.6. Crackers tambm instalar sniffers em seus anfitries, esses so explicados em seo 4.3.

 Se o cracker meramente deseja descarregar dados de servidores chaves, ele tomar aproximaes diferentes para ganhar acesso para seus anfitries, tal como identificando e atacando anfitries chaves que so confiados pelo alvo servidores chaves.



------------------------------------------------------------------------------ 4.3 Instalando sniffers ------------------------------------------------------------------------------


 Um extremamente caminho efetivo ao crackers para rapidamente obtem quantias grandes de usernames e senhas para internamente anfitries em rede est usar 'ethernet sniffer' programas. Porque tal 'sniffer' programa necessidade para operar no mesmo ethernet como os anfitries o cracker deseja ganhar acesso para, isto poderia estar ineficaz para correr um sniffer no anfitrio externo ele est usando como uma ponte.

 Para '(funga' dados fluindo atravs a rede interna, o cracker deve desempenhar uma raiz remota compromete de um anfitrio interno que est no mesmo ethernet como um nmero de outros anfitries internos. As tcnicas mencionadas em sees 3.2, 3.3, 3.4, 3.5 e 3.6 so adotadas aqui, como o cracker deve comprometer e backdoor o anfitrio bem sucedidamente para assegurar que o programa do sniffer pode ser instalado e utilizado efetivamente.

 Sobre comprometer, instalando um backdoor e instalando trojaned 'ps' e ' programas do netstat, o cracker deve ento instala o 'ethernet sniffer' programa no anfitrio. Tais programas do sniffer so usualmente instalados nos /usr/bin ou / diretrios do dev sob o Solaris 2.x, e ento modificado parecer como se eles foram instalado com todo os outros binrios de sistema.

 Maior 'ethernet sniffers' visita a fundo e sada para um registro na mquina local, isto  importante para recordar que o cracker vai usualmente backdoor o ' binrio do ps, assim o processo notvel.

 Tal 'ethernet sniffers' trabalha por retorno uma interface de rede dentro ' modos do promiscuous, a interface ento escuta e registra ao sniffer logfile, qualquer usernames til, senhas ou outros dados que podem estar utilizados pelo cracker para ganhar acesso para outros anfitries em rede.

 Porque 'ethernet sniffers' so instalado no ethernets, literalmente quaisquer dados viajando atravs aquela rede pode ser (fungada, isto no tem viajar para ou do anfitrio em que o sniffer  instalado.

 O cracker usualmente voltar uma semana mais tarde e descarrega o logfile criado pelo 'sniffer' programa. No caso de uma rede associada rompe tal como esta, isto est provavelmente que a vontade do sniffer seja montada muita bema, e dificilmente detectable a menos que uma boa poltica de segurana  implementada.

 Um muito bom utilitrio utilizado por muitos segurana-cientes Administradores  Tripwire, que  disponvel de COSTA (v seo 5.2). Tripwire faz um MD5 'impresso digital' de seu filesystem, e detectar quaisquer modificaes para seus arquivos feitos por usurios do malicious ou crackers.

 Para detectar interfaces de rede do promiscuous (um sinal comum de uma instalao do sniffer), a 'cpm' ferramenta disponvel do CERT  muito til, v http://www.cert.org/ftp/tools/cpm/ para mais informao.



------------------------------------------------------------------------------ 4.4 Tomando Nota De redes ------------------------------------------------------------------------------


 Se um cracker pode comprometer servidores chaves aplicaes de servidor que corre tal como bancos de dados, sistemas de operaes de rede ou qualquer outro ' critical de misso' funes, isto  fcil para ele para tomar nota de sua rede para um perodo de tempo.

 Um cru, mas no tcnica rara adotada por crackers tentando desabilitar funes de rede, poderiam ser apagar todo os arquivos dos servidores chaves por emitir uns 'rm -rf / &' comanda no servidor. Contando Com o sistema de cpia de segurana implementado, o sistema podia ser para algo de horas, para meses.


 Se um cracker foi ganhar acesso para sua rede interna, ele podia abusar vulnerabilidades apresentam em muitos routers tal como no Cisco, Baa e Ascende marcas. Em alguns casos o cracker podia reiniciar, ou fecha routers inteiramente at um administrador foi ao reboot eles.
 Isto pode causar problemas grandes com respeito a funcionalidade de rede, como se o cracker foi montar uma lista de routers vulnervel que desempenhado papeis de rede chaves (se eles estiveram utilizados no backbone associado por exemplo), ento ele podia facilmente desabilitar a capacidade de rede de corporaes para algum tempo.


 Para essas razes, isto  muito importante que ' critical de misso' routers e servidores so sempre remendados e seguros.



------------------------------------------------------------------------------ 5.1 Sugerido leitura ------------------------------------------------------------------------------


 H muitos bons papeis disponveis para ajudar voc mantem segurana de seu externo e anfitries internos e routers, ns recomendamos voc visita o seguinte websites e olha nos seguintes livros se voc deseja aprender mais sobre securing redes grandes e anfitries :

  http://www.antionline.com/archives/documents/advanced/ http://www.rootshell.com/beta/documentation.html http://seclab.cs.ucdavis.edu/papers.html http://rhino9.ml.org/textware/


  ' Unix Prtico & Segurana Internet' ------------------------------------

  Uma boa introduo dentro Unix e segurana Internet se voc realmente no tem lido muito dentro o assunto antes.


    Simson Garfinkel e Spafford O'Reilly De Gene & Associa, Inc.
    ISBN 1-56592-148-8

    NS $39.95 POSSO $56.95 (UK cerca 30 libras)



------------------------------------------------------------------------------ 5.2 Sugerido ferramentas e programas ------------------------------------------------------------------------------


 H muitas boa segurana grtis programa disponvel para plataformas comuns tal como Solaris, IRIX, Linux, AIX, HP-UX e Windows Nt, ns recomendamos voc olha no seguinte websites para informao em tais ferramentas de segurana grtis :

   ftp://coast.cs.purdue.edu/pub/tools/unix/ http://www.alw.nih.gov/Security/prog-full.html http://rhino9.ml.org/software/


  Ltd De Solues De Segurana De Rede., est tambm correntemente desenvolvendo um plethora de ferramentas de segurana para Unix e Windows baseado plataformas, essas vontade est disponvel acima dos prximos meses poucos, sentem liberam visitar nosso site no http://www.ns2.co.uk , tambm tem cuidado grtis 'lite' verses de nosso software!



------------------------------------------------------------------------------

              Copyright (c) Ltd De Solues De Segurana De Rede. 1998 Todos Os Direitos Reservados, todas marcas registradas reconhecidas


                           http://www.ns2.co.uk


             Este documento pode ser distribuido no domnio pblico enquanto o acima notas de copyright permanecem intactas.

------------------------------------------------------------------------------ </XMP></CORPO></HTML>