Коллектив авторов - Защита от хакеров корпоративных сетей

Использование криптографии позволит пользователю вздохнуть свободнее, но это еще не повод для полного расслабления. С момента первой публикации этой главы, когда читатель думал, что ему безопаснее было бы вернуться обратно с суши в воду, атаки типа MITM («человек (злоумышленник) посередине») далеко продвинулись вперед.

Атаки типа MITM

Атаки типа MITM («человек (злоумышленник) посередине») являются, вероятно, наиболее продуктивными из используемых сегодня атак на зашифрованные протоколы и соединения типа SSH1 и SSL.

Рассмотрим, к примеру, ситуацию, когда типичный пользователь пытается подключиться к сайту с установленным протоколом SSL. В начале работы через протокол SSL сервер предъявит браузеру сертификат, удостоверяющий личность сервера. Сертификат сервера сравнивается с сертификатами, хранимыми в общеизвестной базе данных сертификатов. Если извлекаемая из сертификатов информация правильна и сертификат заслуживает доверия (полномочия сертификата без всяких ограничений подтверждаются сведениями из базы данных доверенных сертификатов), то на стороне клиента браузер не выдаст каких-либо предупреждений и для шифрования передаваемых между сайтом с установленным протоколом SSL и клиентом будет сгенерирован сеансовый криптографический ключ.

Достаточно сказать, что при атаке типа MITM клиент не подсоединяется к сайту с установленным SSL, как он думает. Вместо этого злоумышленник подсовывает поддельные мандаты (учетные записи с параметрами доступа пользователя, сформированными после его успешной аутентификации) серверу и воспроизводит информацию клиента для сайта с установленным SSL. Злоумышленник устанавливает соединение с сервером SSL от лица клиента жертвы и подменяет посылаемую обоими концами информацию таким образом, чтобы у него была возможность перехватывать данные и выбирать (если есть, что выбирать), что именно модифицировать для достижения своих целей.

Многим присуща неудачная тенденция игнорирования предупреждающих сообщений используемых программ, например сообщений, показанных на рис. 11.9 и 11.10. Это реальные экранные формы, выданные в результате атаки типа MITM c использованием программы Ettercap (о которой вкратце говорилось ранее). Если нажать на кнопку «Посмотреть сертификат», расположенную под предупреждающим о нарушении системы безопасности сообщением, то можно обнаружить, что этот сертификат отмечен как «Issued to: VerySign Class 1 Authority». Это остроумная игра слов (VerySign – класс доверия к подписи, вместо VeriSign – название компании VeriSign, Inc.). Атака типа MITM – в большей степени социальная атака, основанная на игнорировании человеком предупреждений об опасности, нежели технологическая изобретательность.

Рис. 11.9. Предупреждение Web-браузера о проблемах с сертификатом протокола SSL

Рис. 11.10. Сведения о сертификате

Инструментальное средство Dsniff

Dsniff – это набор программ, позволяющих осуществлять пассивные атаки и анализ TCP-сессий. Некоторые функции, как, например, webmitm и sshmitm, позволяют этому инструментарию работать в «двойном режиме работы», организуя атаки типа MITM на SSH1– и SSL-соединения. «Двойному режиму работы» предшествует имитация соединения (спуфинг) службы имен доменов DNS (см. ранее расположенный пункт «Перехват пользовательского протокола данных UDP») с помощью программы dnsspoof. Имитация соединения выполняется для введения в заблуждение участвующего в соединении хоста, заставляя его полагать, что он установил соединение именно с тем хостом, к которому предполагалось подсоединиться при помощи протокола защищенной передачи гипертекстов HTTPS или же SSH-соединения.

Например, после добавления в хост-файл программы dnsspoof новой записи за строчкой описания домена SSL, который злоумышленник хочет обмануть, компонента webmitm пересылает пользователю ей же самой подписанный сертификат, ретранслируя анализируемый трафик легитимному домену. Через машину злоумышленника посылается ответ легитимного домена хосту, который выдал запрос на сетевое соединение. Вся последующая передача данных по этому каналу также выполняется через машину злоумышленника.

Типичное содержимое хост-файла (host file) программы dnsspoof выглядит примерно так:

192.168.1.103 *.hotmail.com

192.168.1.103 *.anybank.com

Другие разновидности перехвата

Еще одним видом соединений, который часто перехватывается, являются терминальные сессии. Группа компьютерной «скорой помощи» CERT (CERT – Computer Emergency Rresponse Team, группа компьютерной «скорой помощи». Организация, следящая за угрозами безопасности сетевых компьютеров, в том числе в Интернет) выпустила информационные материалы по подобным атакам, которые произошли в период дикого беспредела в начале 1995 года. Эти предупреждения можно найти на сайте www.cert.org/advisories/CA-1995-01.html.

Организация CERT – не та организация, которая разглашает сведения об инструментальных средствах атак или подробности их осуществления, поэтому точно неизвестно, какое именно инструментальное средство было использовано в том или ином конкретном случае. Тем не менее в соответствии с рекомендациями организации CERT за последние нескольких лет были опубликованы сведения о ряде инструментальных средств этой категории. Вот некоторые из них:

• перехватчик телетайпных соединений TTY Hijacker для Linux и FreeBSD (www.phrack.org/show.php?p=51&a=5);

• загружаемый модуль ядра Linux для перехвата телетайпных соединений TTY (www.phrack.org/show.php?p=50&a=5);

• бреши в системе защиты pppd, позволяющие проводить атаки типа MITM на телетайпные соединения TTY (securityfocus.com/archive/1/ 8035).

Это далеко не полный список. При необходимости найти перехватчика terminal/TTY-соединений лучше всего воспользоваться доступными возможностями поиска для отыскания нужной программы, работающей в заданной операционной системе. Заметьте, что для перехвата соединений злоумышленнику, как правило, нужно обладать правами суперпользователя root или знать, как воспользоваться различными дырами в системе безопасности атакованной системы....

Инструментарий и ловушки

Необходимость чтения литературы

Искренне желая быть в вопросах компьютерной безопасности на шаг впереди злоумышленников, следует потребовать от своих сотрудников быть в курсе тех же самых источников информации, которыми обычно пользуются злоумышленники. В эти источники входят различные списки адресатов, например Bugtraq, NTBugtraq, vuln-dev и другие. Более подробная информация о списках рассылки по вопросам безопасности приведена в главе 18. Специалистам в области компьютерной безопасности следует просматривать журналы «Phrack» и «2600», а также следить за информацией на Web-сайтах типа Security-Focus.com, пытаясь найти новые документы, заголовки и статьи. На это потребуется время, но если вы хотите сделать нечто большее, нежели просто латание дыр по мере их появления путем применения вышедших патчей, то это стоит того.

В этой главе был рассмотрен ряд инструментальных средств, которые могут быть использованы как для атаки, так и для обороны. Разумно потребовать от ваших сотрудников знания обоих вариантов их использования, чтобы они были знакомы с принципами работы подобных инструментальных средств и тем, как выглядит их работа в сети. Для этого, возможно, потребуется создать что-то вроде небольшой лаборатории и выделить время вашим сотрудникам для экспериментов.

Для того чтобы поймать злоумышленника, следует думать точно так же, как он. Точно так же как солдат перед боем должен знать врага, так и профессионал в области безопасности должен знать злоумышленника. У пользователя, знающего, какое оружие и как используют злоумышленники, в каких случаях оно наиболее эффективно, хорошие шансы избежать попадания в печальную статистику информационных журналов в области безопасности. Сейчас доступно много ресурсов, и иногда кажется нереальным отслеживать их, но это является частью работы, которую необходимо регулярно выполнять. Легкий способ справиться с огромным потоком информации в области безопасности заключается в отслеживании информации на таких сайтах, как www.securityfocus.com/tools,http://sourceforge.net, http://packetstromsecurity.org и www.wiretrip.net. Быстрый поиск также должен дать желаемый результат.

Да, вопросам безопасности посвящено огромное количество ресурсов. Возможно, запросы пользователя и условия эксплуатации его системы не потребуют грандиозных усилий в области безопасности, но если это не так, то это стоит дорого. Безопасность – вещь дорогая.

Резюме

В этой главе были рассмотрены вопросы перехвата сессии и приведены примеры перехвата TCP, UDP и некоторых других сессий. Было детально рассмотрено, что происходит на уровне пакета, когда злоумышленник перехватывает TCP-соединение. В основном сопутствующие перехвату TCP-соединений проблемы заключаются в перегрузке сети ARP-пакетами (ARP storm), отображении команд на мониторе машины-жертвы, а также в трудностях повторной синхронизации истинного клиента и сервера.