Хакер №024. Спецвыпуск


024-006-5, FAQ



FAQ

Матушка Лень

Спецвыпуск Xakep, номер #024, стр. 024-006-5

Как проще всего обойти файрволл?

Я лично слышал как минимум три рассказа про то, как сотрудник использовал личный модем у себя на работе. И правильно, наш человек! Хакер даже у себя на работе остается хакером. Администратор может закрыть на файрволле доступ в Интернет вообще, тогда некоторые сознательные сотрудники приходят со своим модемом, благо с телефоном проблем нет, на скучной работе скучать не придется.

Так что мало защитить сеть от внешнего проникновения, нужно еще держать под прицелом внутреннего врага, дорогие мои администраторы! Ведь большая корпоративная сеть совсем не застрахована от физического подключения в самом неожиданном месте. Не застрахована от хака изнутри, кто мешает хакеру специально устроиться на работу за восемьдесят баксов во вражескую контору? Или затроянить врага своей подругой Машей с вредоносными дискетками? Кто мешает просто расспросить своих друзей, которые работают на врага, об устройстве сети?

Этот способ очень распространен в больших организациях. И если все хорошо защищено снаружи - хакер действует изнутри, прям как в плохих фильмах. Только тут не надо изгаляться с навороченными системами охраны, достаточно просто прийти в гости или на собеседование. Да и сам работодатель посадит хакера за компьютер, чтобы протестить интеллект, к примеру.

Кто мешает затроянить контору уборщицей, которая возит тряпкой вокруг сервера? Все боятся злобных сетевых хакеров, ставят мощные файрволлы. Ну а хакеры ходят рядом с тобой, пьют твое пиво и стреляют у тебя сигареты. Уволь своего админа, при этом забыв ему заплатить, и ты хакнут!

Что такое анализатор пакетов?

Допустим, хакер решил затроянить пользователя сети и прислал ему вирус по почте. Глупый пользователь запустил троянского коня, и тот размножился по всей сети и обошел фильтр изнутри. Опять файрволл лажанулся, пропустив пакет с вирусом!

Чтобы избежать таких проблем, используют анализаторы пакетов. Это такие программы или устройства, которые не ограничиваются информацией заголовка и лезут в содержимое пакета. Сетевые анализаторы могут проверять трафик на наличие вирусных сигнатур (цифровых отпечатков вирусных пальцев), на наличие туннеля другого протокола, на определенные слова или участки кода.

С помощью анализатора пакетов можно даже отучить пользователей ругаться матом в письмах. Только анализатор работает очень медленно, ведь распаковывать каждый пакет дело не быстрое, особенно когда они валятся с хорошей скоростью.

Да и глубина проникновения этого любителя грязного белья оставляет желать лучшего. Можно научить анализатор определенным фокусам, но хакеры все время придумывают что-то новенькое. Поэтому набор фокусов приходится постоянно обновлять. Proxy-сервер - один из примеров анализатора пакетов.

Что такое система обнаружения атак?

Сейчас в Интернете очень модная тема. Серьезные дядьки классифицируют хакерские атаки и даже их стандартизируют. На основе этих стандартов пишут системы обнаружения атак. Есть масса косвенных признаков атаки, при которых система должна кричать караул или самостоятельно бороться со взломщиком. Такая система использует логи файрволла, данные анализатора пакетов, следит за целостностью системных файлов и стоит очень дорого.

Назад на стр. 024-006-4  Содержание  Вперед на стр. 024-006-6


 



- Начало -  - Назад -  - Вперед -