index

приховування слідів Два аспекти завдання приховування слідів
локальна безпека
Глобальна безпека
Проксі-сервери
Приховування слідів атаки
відключення аудиту
Очищення журналів безпеки
Приховування встановлених файлів, програм і процесів
приховування файлів
приховування процесів
"Руткіти"
висновок

Приховування слідів - найважливіший етап роботи хакера, оскільки, виявивши ознаки тесанкціонірованной діяльності хакера, антихакер відразу ж вживе заходів захисту. Все це відповідає реальному світі, де злочинці, приступили до «роботі», надягають рукавички і маски, вішають фіктивні номера на автомобілі, ну і так далі - все ви, напевно, хоч раз, та дивилися гангстерські фільми. Діючи в віртуальному світі, всякі різні «кул хацкери», якщо вони хоч чогось варті, також повинні передбачити, причому з усією ретельністю, способи приховування слідів своєї діяльності.

Взагалі кажучи, тема приховування своєї діяльності у віртуальному світі - вельми актуальна і багатогранна. У Главі 1 вже наводився той сумний факт, що близько 50% всіх спроб віддаленого злому комп'ютерних систем виконується в домашніх комп'ютерів, підключених до серверів Інтернету через телефонні лінії - причому сервери Інтернету, все як один, забезпечені пристроями АОН.

Чи варто тут дивуватися численними повідомленнями про затримання «страшного злочинця», який, запустивши хакерську програму автопідбору паролів щільною реєстрації на сервері провайдера Інтернету, вважає себе повністю -неуязвімим. Причому така впевненість заснована на сміховинному, хоча і психологічно зрозумілою факторі, - адже хакер сидить у своїй квартирі за зачиненими дверима, де його «ніхто не бачить», в той час як програма підбирає відмички до вхідних дверей чужого будинку. Результати такого «хакинга» іноді покаивают в телевізійних новинах, під рубрикою «кримінальна хроніка» що й не дивно).

Так що автор настійно пропонує всім любителям обговорюваного жанру найуважнішим чином почитати цю главу, перш ніж зважитися на будь-які дії (не заохочувані автором).

Автор в черговий раз попереджає читачів про відповідальність за всі дії в віртуальних просторах Інтернету, які можуть бути виконані за допомогою описаних в цій книзі програм і методів. Врахуйте, що книга написана з єдиною метою - навчити вас протистояти атакам нападам, що, безумовно, вимагає знання хакерських технологій. За пряме застосування описаних у книзі технологій і їх наслідки автор відповідальності не несе.

Два acпeктa завдання приховування слідів

Взагалі кажучи, кожна людина, що працює з комп'ютером, повинен найуважнішим чином поставитися до проблеми збереження своєї конфіденційності. Справа в тому, що вся зберігається в вашому комп'ютері, домашньому або робочому, інформація - це відображення вашої діяльності в віртуальному світі Інтернету. І розкриття цієї інформації призводить до порушення того, що англійці називають privacy - конфіденційність особистої життя. Працюючи на комп'ютері, ви неминуче залишаєте за собою сліди в віртуальному комп'ютерному світі, сліди, які, якщо не вжити спеціальних заходів, запросто дозволяють ідентифікувати вашу особистість в реальному, фізичному просторі, що завжди корисно і дуже часто призводить до неприємностей.

Що стосується звичайних користувачів, то їм автор рекомендує почитати кт \: [10], де барвисто описані випадки з життя (правда, «за бугром») різного роду особистостей, які з різних причин - безпечності, недосвідченість і TON подібним недоліків - забули про захист цієї самої privacy. Такі люди, до ^ правило, перебувають у повній упевненості, що віртуальний світ Інтернет, або, як зараз кажуть, кіберпростір - це щось потойбічне, ніяк: • пов'язане з їх життям в реальному світі. Але не про них зараз мова.

Мова зараз йде про те, як повинен вести себе людина, яка, подорожуючи г віртуального комп'ютерного світу, любить перелазити через всякі там різні шлагбауми і паркани з табличкою «прохід закритий», і гуляти по забороненою ті: ритории кіберпростору. Ясно, що при таких подорожах слід приде: живатися особливих правил особистої безпеки та конфіденційності. Ця з; дача має два аспекти.

По-перше, це локальна безпеку. Слід мати на увазі, що всі е ~ штучки в віртуальному комп'ютерному світі залишають сліди і в вашому КО1. пьютере, що може стати джерелом великих проблем. Ви самі підпорядкованих можете побачити на екранах телевізорів, як слідом за черговим, спійманим г гарячих слідах, «кул хацкери» несуть системний блок його комп'ютера - ясн що не на продаж.

По-друге, це глобальна безпека. При прогулянках в кіберпространст; хакеру слід залишати якомога менше слідів хоча б на закритих ДГ стороннього входу територіях. Слід ясно розуміти, що будь-які ваші де, наслідком в Інтернеті відслідковуються Web-серверами і фіксуються в лог-файли не як сервера провайдера Інтернету, так і відвіданих вами We серверів, і виявити з цих записів ваше місце розташування в реальному світі сущі дрібниці.

Так що є сенс розглянути, де можуть ховатися джерела загроз для лі-ностей, що займаються всякими штучками і витівками в кіберпросторі.

зачіпають інтереси інших людей (до речі, ці відомості не будуть лиш - ними і для всіх інших користувачів комп'ютерів).

локальна безпека

Отже, припустимо, що ви за допомогою свого вірного друга-комп'ютера натво-гілі делишек, за що і постраждали, і тепер ваш системний блок - в руках різного роду слідопитів. Ну і що ж вони там можуть такого побачити, в цьому вашому системному блоці? Так майже всі, що треба, щоб зробити вашу долю просто сумної на найближчі кілька років. На вінчестері комп'ютера можна знайти:

• Набори хакерських програм, які ви використовували для своєї діяльності.

• Історію подорожей в Інтернеті, розказану вашим Web-браузером.

• Вашу переписку по електронній пошті, в тому числі давним-давно віддалену з поштових скриньок.

• Різні файли даних, які ви витягли з чужих комп'ютерів без попиту у господарів.

• Безліч документів в кошику Windows, які ви видалили програмою Провідник (Explorer) і вирішили, що всі кінці заховані в воду.

• Інформацію про недавно відкритих документах, що зберігається у файлі підкачки Windows.

• Інформацію в резервну копію файла системи, а також в файлах резервних копій документів MS Office.

Так що ваш комп'ютер, по суті, підносить всім, кому завгодно на блюдечку з блакитною облямівкою всю інформацію про вас і вашої діяльності. Звідки ж надходить ця інформація? Давайте спочатку розглянемо канали витоку конфіденційної інформації, випереджаючи обговорення заходів по їх перекриттю.

Гнучкі і жорсткі диски

Одним з каналів витоку інформації про вашу діяльність на комп'ютері є гнучкі і жорсткі диски. Суть справи в тому, що гнучкі і жорсткі диски зберігають набагато більше даних, ніж це можна побачити у вікні програми Провідник (Explorer) при їх перегляді, про що дуже часто забувають власники дисків. Слід твердо пам'ятати, що видалення файлів на диску командою Видалити i Delete) провідника Windows нічого, фактично, не видаляє. Всі такі файли потрапляють _в кошик Windows і, крім того, на дисках можуть залишитися їх тимчасові копії, створювані, наприклад, додатками MS Office. Щоб побачити це на власні очі, включіть режим відображення прихованих файлів, встановивши перемикач Показувати приховані папки та файли (Show hidden files and folders) в діалозі Властивості папки (Folder Options) провідника Windows. Цей діалог відкривається командою Сервіс * Властивості папки (Tools »Folder Options) (Рис. 1).

Мал. 1. Установка режиму відображення прихованих файлів

Після виконання такої операції видаліть будь-якої файл додатка Wor: командою Видалити (Delete) провідника Windows і подивіться, що залишилося; містить його папці. Приклад представлений на Рис. 2, на якому відображений: папка зі слідами, які залишилися при підготовці секретного документа Wore файл якого в процесі підготовки багато разів модифікувався, зберігався відновлювався після зависання програми і так далі.

Мал. 2. Папка з прихованими файлами, що залишилися після видалення основного файлу документа

»Лк бачимо, після видалення файлу в папці залишилося кілька його копій - тимчасові файли .ТМР, резервні копії .WBK, що залишився після зависання комп'ютера файл, що починається з символів ~ $. Більш того, якщо всі ці файли ~ гкже видалити, в тому числі, і з кошика Windows, фрагменти інформації, :: тримаються в документі, все одно залишаться у файлі підкачки системи Л; ndows. Вам, напевно стало ясно - що нічого ви, по суті, не видалили -ice ваші справи у наявності. Що ж тепер робити?

Лля надійного видалення всієї інформації, що відноситься до файлу документа MS Office, слід застосовувати спеціальні утиліти очищення дисків, ~ еедоставляемие багатьма програмами, такими як, Norton Utilities. Ми ж розглянемо зараз більш ефективний засіб очищення дисків від вся-ого компрометуючого сміття - програму Cleaner Disk Security (http://www.theabsolute.net/sware/index.htmlttClndisk).

Очищення файлів і папок

Щоб стерти файл так, щоб його не змогла прочитати програма відновлення файлів, слід фізично перезаписати всі біти файлу, що зберігаються на Ліскі. Однак це не так просто, як може здатися на перший погляд. Для -здежной очищення носій секретної інформації повинен записуватись багаторазово, з використанням шаблонних байтів інформації, що генеруються випадковим чином. Число ітерацій залежить від важливості інформації і типу її носія - стандарт міністерства оборони США, наприклад, вимагає триразовою перезапису. Тільки це може гарантувати високу (але не 100%): тепенно очищення.

На Рис. 3 представлений діалог утиліти Clean Disk Security 5.01 (http://www.theabsolute.net/sware/index.htmWCIndisk), яка задовольняє хновним вимогам, що пред'являються до засобів очищення носіїв секрет - ой інформації (і навіть кілька їх підсилює).

Утиліта Clean Disk Security 5.01 дозволяє прати окремі файли і папки на Лісках за допомогою команди контекстного меню Erase fully (Повне стирання). Утиліта забезпечує повне стирання - знищується як сама інформація в еайлах, так і всі її сліди, що залишилися в різних буферах і таблиці разме-лення файлової системи (підтримуються файлові системи FAT і NTFS). Також стирається інформація, що міститься в вільних областях кластерів еайловой системи, що використовуються стирані файлом. Утиліта дозволяє очищати файл підкачки Windows, кошик Windows, папку Temp з тимчасовими Райлі (в яку, наприклад, завантажуються розпаковувати інсталяційні файли) і очищати списки останніх використаних файлів. При бажанні користувач може очистити кеш-пам'ять, використовувану браузерами Інтернету лля зберігання завантажених файлів, списки, що зберігають передісторію роботи в Інтернеті і файли кукі (cookie). Всі ці можливості встановлюються з по-чощью прапорців, представлених в головному діалозі утиліти (Рис. 3).

Мал. 3. Утиліта Clean Disk Security 5.01 виконує очистку дисків чотирма методами

Як видно на Рис. 3, утиліта надає чотири методу очищення:

• Simple (Простий) допускає виконання до 6 проходів, під час яких і: диск записуються випадково генеруються символи. Цей метод придатний: для більшості випадків; зазвичай буває досить 1 проходу.

• NIS - підтримує до 7 проходів із записом випадково генеруються символів (тобто наборів біт певної довжини) і їх перетворень.

• Gutmann - підтримує до 35 проходів із записом випадково генеруються шаблонів (тобто послідовностей випадково генеруються біт). Цей MCTOZ запропонований Пітером Гутманом (Peter Gutmann) з департаменту комп'ютерних наук університету м Окленд. Повне очищення цим методом займає багато часу, але зате забезпечує захист від сканування диска високоточним обладнанням (є й таке).

• Test mode (Тестовий режим) - виконує за один прохід запис символу # До коду ASCII.

Всі ці можливості вражають. Очевидно, що утиліта Clean Disk Security 5.0 'являє собою професійний інструмент для стирання інформації та. до того ж, забезпечений зручним інтерфейсом і вичерпної довідковою системою.

Ось вам порада, почерпнутий з [10]. Щоб по-справжньому надійно прикритися від всяких слідопитів, зробіть наступне: купіть собі джерело безперебійного живлення (UPS); підготуйте надійну утиліту повного очищення жорсткого

лиска комп'ютера. Далі, як тільки до вас прийдуть несподівані гості, запустіть утиліту очищення і дочекайтеся завершення її роботи. Джерело безперебійного літанія допоможе вам довести операцію до кінця, якщо ваші гості вимкнуть електроживлення у вашій квартирі.

Очищення системного реєстру

Нарешті, згадаємо загрозу, що виходить від системного реєстру. У ньому зберігається дуже і дуже багато всього такого, що видасть вас з головою, варто тільки там покопатися кваліфікованого фахівця. Взагалі-то, саме з цієї причини системний реєстр користується підвищеною увагою хакера, але в даному випадку ми маємо на увазі увагу людей, які цікавляться самими хакерами. Так що не варто нехтувати його очищенням від ганьблять вас даних, хоча зробити це досить складно. Справа в тому, що автоматизовані утиліти очищення реєстру, наприклад, Norton Utilities, забезпечують видалення тільки непотрібних записів, що залишилися після установки / видалення програм, створення і видалення ярликів і так далі. Вибірково очищати реєстр від конфіденційних даних вони не вміють, і все це слід робити руками, в кращому випадку за допомогою саморобних сценаріїв.

Так що кращий вихід (виключаючи повне очищення системи) - це закриття доступу до реєстру для всіх, крім адміністратора системи, що можна зробити засобами редактора реєстру regedt32. Далі слід розглянути питання про використання криптографічних засобів для захисту хакерської системи від небажаного перегляду любителями чужих секретів. Наприклад, можна вдатися до засобів шифрування файлів і папок, що надаються файлової системою NTFS.

Глобальна безпека

На початку глави вже зазначалося, що головна небезпека, яка чатує на хакера, який проводить різні акції в Інтернеті - це помилкове відчуття своєї анонімності і невразливості. Слід твердо пам'ятати, що все - абсолютно все - дії в Інтернеті відслідковуються Web-серверами і фіксуються в спеціальних журналах. Далі ці відомості можуть бути надані будь-кому, в тому числі і людям, потерпілим від ваших дій. Тому при роботі в Інтернеті слід дотримуватися особливої ​​обережності. Обговоримо найнебезпечніші ситуації, що підстерігають користувача, приєднані до Інтернету.

провайдери

При підключенні до Інтернету, перш за все, слід подбати про анонімність підключення до сервера провайдера Інтернету. Так що при виборі провайдера Інтернету перш за все постарайтеся уникнути авторизованого доступу до Інтернету і замість укладення договору віддайте перевагу купівлі картки Інтернету. Такі картки нині є загальнодоступними, і при їх покупці Е: зберігаєте свою анонімність.

Однак анонімність покупки картки зовсім не означає вашої анонімне: при роботі в Інтернеті, що безпосередньо пов'язано з конфіденційністю і без пеки вашої інформації. В даний час провайдери Інтернету уст_ новлюють на вхідних телефонних лініях свого сервера пристрою автомат; чеського визначення номера (АВН). При підключенні до сервера провайдег Інтернету місцева АТС, у відповідь на запит сервера, відсилає йому телефон номер вхідного дзвінка, і сервер записує цей номер в журнал разом з в. шей обліковим записом. У процесі роботи в Інтернеті сервер провайдера буде автоматично фіксувати всі ваші дії (адреси відвіданих Web-вузлі; використані протоколи, можливо, фрагменти трафіку), асоціюючи їх. вашим обліковим записом, що зберігає, в тому числі, виявлений пристроєм АТ? номер вашого телефону. Так що, в разі необхідності, знайти вас не пре; ставлять ніяких труднощів.

Для боротьби з цим злом пропонується безліч методів (див., Наприклад [5 [10], або випуски журналу «Хакер» - автор безсилий передати все різноманіття. Методів і прийомів, які можна зустріти на сторінках цього, у вищій CTL пені корисного джерела ). Скажімо, пропонується встановлювати на своєму KOY пьютере пристрій анти-АВН, яке покликане блокувати передачу станції АТС вашого телефонного номера сервера провайдера Інтернету. Однак надійність захисту, що забезпечується цими пристроями, ніким толком не прове Рена, оскільки всі вони розроблені і виготовлені радіоаматорами. Так чт навряд чи варто покладатися на ефективність таких пристроїв, як анти-АВН.

Якщо вже ви зважитеся на використання анти-АВН, програмних або апарат них, для початку перевірте їх ефективність. Багато провайдерів Інтернет, надають своїм користувачам статистику підключень по користувальницької облікового запису. Це робиться для контролю користувачами витрат бюджету, виявлення нелегальних підключень і так далі. Так ось, в цій статі стике наводяться телефони, з яких виконувалися підключення, виявлені пристроями АОН провайдера. Так що включите свій анти-АВН, виконайте кілька підключень до Інтернету і перевірте - що з цього вийшло перш ніж пускатися у всі тяжкі!

Загальна Рекомендація така - если ви хочете сделать в Інтернеті Щось, что требует повної конфіденційності, Ніколи і ні за якіх обставинні НЕ використову телефон, номер которого дозволити віявіті вашу особистість. І вже у всякому разі, НІКОЛИ НЕ використовуйте ДОМАШНІЙ ТЕЛЕФОН - ЦЕ АБСОЛЮТНО, БЕЗУМОВНО І АБСОЛЮТНО НЕПРИПУСТИМО !!!

анонімайзери

При запиті сторінки Web-сайту комп'ютера доводиться обмінюватися з сервером певною інформацією, і цей процес не обмежується передачею гам для перегляду HTML-коду запитаної Web-сторінки. В процесі обміну: ервер може отримати з комп'ютера Web-мандрівника і іншу інформацію, в тому числі ідентифікує тип комп'ютера, попередній поселений вами Web-сайт, що ідентифікують вас адреси електронної пошти тощо.

Щоб чіткіше усвідомити можливості по вашій ідентифікації, наявні;. серверів Інтернету, можна звернутися до Web-сайту за адресою http://www.privacy.net/analyze, який надає послуги з аналізу ін-оормаціі, яку може отримати Web-сервер з клієнтського комп'ютера. Як видно з Рис. 4, цей сервер Інтернету без проблем визначив операційну систему клієнтського комп'ютера, який використовується Web-браузер, час запиту і IP-адреса сервера провайдера Інтернету.

Мал. 4. Фрагмент Web-странщи з результатом аналізу конфіденційності

Більш того, на цій же сторінці трохи нижче (тут це не видно) представлені результати запиту одного з серверів Whols, про які ми розповідали в Главі 1, що містять реєстраційні відомості про домен провайдера Інтернету разом з телефонами адміністраторів мережі.

Ясно, що володіння такою інформацією видає ваше місце розташування з головою - для цього потрібно лише переглянути на сервері віддаленого доступу провайдера всі реєстраційні журнали і знайти запис, що фіксує інформацію про підключення комп'ютера клієнта з даними IP-адресою в зазначений час і з зазначеного телефону. Так що недарма нині багато Web-сайти на

завантаженої Web-сторінці відображають попередження про те, що сервера і звісток IP-адреса комп'ютера клієнта - і в разі несанкціонованого дій наслідки гарантовані ...

Щоб уникнути такого розвитку подій, слід звернутися до сервісів, пр. Доставляються деякими Web-вузлами, які на комп'ютерному сленгу н_ опиняються «анонімайзерами» (від англійського слова «anonymizer» - засобів збереження анонімності). Анонимайзер є служб '. посередник, що виконується на Web-сервері, за допомогою якої користувач може подорожувати по Мережі згідно командам, що віддається з браузер свого комп'ютера. Таку послугу надає, наприклад, анонимайзер р адресою http://www.anonymizer.com. (Рис. 5).

Мал. 5. Для анонімного відвідування Web-сайту просто введіть в рядок його адресу і клацніть на кнопці Показати. Усі наступні посилання будуть направлятися від імені апонімайзера

Анонімайзери - ефективний засіб для забезпечення анонімності, але вони не позбавлені недоліків - не всі анонімайзери дозволяють FTP-доступ, і багато, в якості додаткової «навантаження», змушують деякий час переглядати свої рекламні оголошення. Крім того, врахуйте, що анонімайзери, як і всі Web-сервери, також ведуть реєстраційні журнали, здатні фіксувати своїх відвідувачів. І якщо для звичайних громадян ці журнали недоступні (в цьому і полягає суть послуг анонімайзерів), то для незвичайних громадян в принципі немає нічого неможливого.

Проксі - сервери

Зробити свої подорожі по Web анонімними можна також за допомогою проксі-серверів, вказуючи їх параметри в розділі Проксі-сервер (Proxy server) діалогу налаштування віддаленого підключення.

Проксі-сервер працює, по суті, як анонимайзер, тобто при запитах Web-сайтів на серверах буде реєструватися адресу проксі-сервера, але є і деякі відмінності.

• Проксі-сервер не скасовує використання файлів куки.

• Проксі-сервер дозволяє працювати як з HTTP, так і з FTP-серверами, що дає можливість зробити анонімними не тільки відвідування Web-сайтів, але також і завантаження файлів по протоколу FTP.

• Якщо використовувати адресу проксі-сервера свого провайдера Інтернету, загроза ідентифікації вашого комп'ютера залишається.

• У будь-якому випадку проксі-сервер не захистить вас від слідопитів зі специфічними можливостями.

Для подолання останнього недоліку можна скористатися послугами проксі-сервера стороннього провайдера. Його можна знайти, наприклад, за допомогою пошукових машин, що надаються різними Web-сайтами, скажімо, Yahoo. Наберіть в рядку пошуку proxy + server + configuration + Explorer, і у відповідь ви отримаєте безліч Web-сторінок, що належать провайдерам Інтернету, з описом способів настройки їх проксі-серверів. Потім спробуйте налаштувати на ці проксі-сервери своє віддалене з'єднання з провайдером Інтернету і, як правило, після декількох спроб у вас це вийде.

Coкpитіe слідів aтaкu

Отже, ви вже засвоїли, що, подібно до звичайного грабіжникові, ніякої реальний хакер, побувавши в чужому комп'ютері, не захоче залишити після себе сліди,: -тор можуть привернути до нього увагу. Перед відходом з системи він створить ній потаємні ходи, помістивши в систему клавіатурного шпигуна, наприклад, ог санного в Главі 6 кейлоггера IKS. Або ж встановить в комп'ютер утиліту \ ~ ленного адміністрування зламаної системи, наприклад, трояна NetEL (http://www.netBus.org). Але після всього цього хакеру потрібно знищ всі сліди свого перебування в системі або, як мінімум, зробити так, чтос; інформація про його відвідуванні, зареєстрована системою захисту, що не позі лила визначити його особистість.

Ось які методи найчастіше використовуються хакерами для збереження ан: німності і приховування слідів атаки:

• Найкраще - це використовувати для хакинга в Інтернеті сторонні KOV п'ютери, доступ до яких не контролюється в належному ступені (а так1-комп'ютерів в будь-якій організації - хоч греблю гати).

• Можна підмінити IP-адреса хакерського комп'ютера, використавши переможе} точний анонимайзер або проксі-сервер, як ми вже обговорювали це вище.-Цьому розділі.

• Щоб приховати встановлені на зламаному комп'ютері хакерські програм ми, можна змінити стандартні номери портів цих програм, що ускладнює їх виявлення. Наприклад, широко відома програма Back Orifice 200C замість стандартного порту 31337 може бути перенастроєна на використання ня, скажімо, порту 31336, і програми, що аналізують відкриті псуй комп'ютера, можуть бути введені в оману.

• Обов'язково слід очистити журнали реєстрації подій безпеки, які заповнюються засобами аудиту систем Windows NT / 2000 / XP. чтобь; відключити засоби аудиту, зломщик може вдатися до утиліти auditpo пакета W2RK, або який-небудь інший хакерської утиліті, наприклад. elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Найпростіше це можна зробити за допомогою аплета Перегляд подій (Event Viewer) на панелі управління Windows 2000 / XP.

• Можна приховати файли і папки, скопійовані у зламаний комп'ютер, встановивши в діалозі властивостей файлів і папок прапорець Прихований (Hidden). Установка цього атрибуту робить файл або папку невидимою у вікні провідника Windows, якщо тільки не був встановлений режим відображення прихованих файлів.

• Можна приховати процеси, виконувані хакерськими програмами. Хакер може замаскувати запущену їм службу або програму, змінивши її ім'я на абсолютно нейтральне, наприклад, explorer.exe, яке у вікні диспетчера задач Windows можна буде сплутати із звичайним додатком провідника Windows.

• Більш складним є випадки приховування процесів хакерських програм за іменами інших процесів за допомогою програм, подібних EliteWrap, описаної в Главі 6.

• Найбільш досконалим методом приховування хакерських програм слід вважати використання так званих руткітів (від англійського слова Rootkit -базовий комплект інструментів). При цьому справжні програми ядра операційної системи підмінюються хакерськими утилітами, які виконують функції вхідний реєстрації користувачів, ведення журналу натиснутих клавіш і пересилання зібраних даних по мережі.

Для протистояння таким трюкам існують спеціальні програмні: редства контролю цілісності комп'ютерної інформації. Як приклад можна назвати додаток Tripwire (http://www.tripwiresecurity.com), яке дозволяє виконувати контроль цілісності файлів і папок, і додаток Cisco Systems (http://www.cisco.com) для перевірки і аналізу вмісту журналів реєстрації . Системи Windows 2000 / XP також надають вбудований інструмент перевірки цілісності файлів, про роботу з якими можна дізнатися, наприклад, в [7].

відключення аудиту

Аудит, безсумнівно, є одним з найбільш серйозних засобів захисту від хакинга комп'ютерної системи, і відключення засобів аудиту - одна з перших еперацій, яку виконують хакери при зломі комп'ютерної системи. Для цього застосовуються різні утиліти, що дозволяють очистити журнал реєстрації та / або відключити аудит системи перед початком «роботи».

Для відключення аудиту хакери можуть відключити політику аудиту штатними засобами настройки системи захисту Windows NT / 2000 / XP, проте краще вдатися до більш потужному засобу, що надається утилітою auditpol.exe з комплекту інструментів W2RK. З її допомогою можна відключати (і включати) аудит як локального, так і віддаленого комп'ютера. Для цього слід з командного рядка ввести таку команду:

Тут // ComputerName - ім'я віддаленого комп'ютера, а ключ / disable задати відключення аудиту на цьому комп'ютері. Утиліта auditpol.exe - вельми ефек тивне засіб, створене для управління мережевими ресурсами, але також, ка-бачимо, вельми зручний інструмент хакинга (введення команди auditpol /? Отобра жает довідкову інформацію про застосування утиліти).

Очищення журналів безпеки

Для очищення журналу безпеки за допомогою спеціального аплета на панел; управління Windows 2000 / XP слід виконати наступні дії:

• Клацніть на кнопці Пуск (Start) і в який з'явився головному меню виберіть команду Налаштування * Панель управління (Settings * Control Panel).

• У отобразившейся Панелі управління (Control Panel) відкрийте папку Адміністрування (Administrative Tools).

• Двічі клацніть на аплетов Перегляд подій (Event Viewer). На екрані з'явиться вікно Event Viewer (Перегляд подій) (Рис. 6).

Мал. 6. Вікно Перегляд подій

Клацніть правою кнопкою миші на пункті Безпека (Security Log); з'явиться контекстне меню (Рис. 7).

Мал. 7. Контекстне меню пункту Безпека

Виберіть команду Clear all Events (Стерти всі події). З'явиться діалог, представлений на Рис. 8, з пропозицією зберегти журнальні події в файлі.

Мал. 8. Запит про необхідність збереження журналу безпеки

Клацніть на кнопці Немає (No), якщо вам більше не потрібні зафіксовані в журналі події. Журнал буде очищений.

При виконанні очищення журналу безпеки зверніть увагу на той факт, що після виконання цієї операції в журнал відразу ж записується нове подію-тя аудиту - тільки що виконана операція очищення! Таким чином, хакер все ж залишить свій слід - порожній журнал з зафіксованим подією очищення журналу. Цей недолік можна виправити, застосувавши для очищення журналу ха-керскую утиліту elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Ця утиліта призначена, в першу чергу, для очищення журналів Windows NT 4, але її остання версія працює і з системою Windows 2000. Ось як вона запускається з командного рядка.

C: \ els004> elsave -s \\ ComputerName -С

Тут ключ -s задає режим віддаленої очищення, а ключ -С задає операцію очищення журналу. Крім очищення, утиліта дозволяє копіювати події журналу в файл. Введення команди elsave /? призводить до відображення довідки, і ви можете самі випробувати ефективність всіх пропонованих можливостей.

Елементарна перевірка показує, що зазначений вище недолік залишився - застосування утиліти elsave.exe реєструється в журналі безпеки як подія очищення журналу. Однак тепер ми можемо зробити наступний трюк -поместіть завдання на очистку журналу утилітою elsave.exe в планувальник завдань Windows (запустивши його або з меню Пуск (Start), або командою AT з командного рядка MS-DOS). Планувальник виконає операцію очищення під обліковим записом System, що сильно ускладнить пошуки хакера.

Приховування встановлених файлів, програм і процесів

Щоб приховати встановлені програми, їх можна перейменувати, а у властивостях файлів і папок встановити атрибут невидимості. Інший варіант - внедре-

ня хакерських програм в ядро ​​системи, наприклад, за допомогою "руткітів". Обговоримо ці можливості докладніше.

приховування файлів

Щоб приховати встановлений у зламану систему файл, можна вдатися до простої процедури встановлення для файлу атрибута невидимості в діалозі властивостей файлу (Рис. 9).

Puc. 9. Приховування файлів в діалозі провідника Windows

Слід правда, зазначити, що установка параметра відображення прихованих фай-лов в діалозі властивостей провідника Windows відразу ж демаскує приховані таким чином файли.

приховування процесів

У попередньому розділі ми вказували, що для створення потайного ходу в систему хакери часто використовують маніпуляції, пов'язані з недоліками процесу завантаження систем Windows. Вони залишають свої файли в папці автозавантаження зламаної системи, після чого при вході користувача в систему автоматично завантажуються хакерські програми. Папка автозавантаження Windows 2000 / XP знаходиться в розділі Documents and Settings \ User \ Start Menu \ Programs \ Startup і доступна для всіх зареєстрованих в системі користувачів. Так що, замінивши ім'я виконуваного файлу хакерської програми будь-яким нейтральним ім'ям, можна сподіватися, що неуважний користувач не помітить в спи-ську виконуваних процесів хакерську програму.

Слід також врахувати, що в діалозі Диспетчера завдань Windows відображаються аж ніяк не всі процеси, що виконуються комп'ютером в поточний момент време-ні, та для виявлення таких процесів слід вдатися до спеціальних засобів, наприклад, програмою виявлення троянських коней The Cleaner http: // www. moosoft.com).

Інший, більш витончений метод приховування одних процесів за іншими за допомогою утиліти EliteWrap був описаний в Главі 6. Однак найбільш витончений метод приховування полягає в застосуванні комплектів хакерських програм - "рукрітов" - вбудованих в ядро ​​системи замість справжніх.

«Рукріти»

Взагалі кажучи, «руткіти» - це широко поширений метод хакинга сис-тем UNIX [3]. Набори програм, також званих «відмичками», після уста-новки в ядро ​​системи модифікується функції таких цікавих процедур, як вхідні реєстрація користувачів, після чого починають перехоплення вводяться паролів. Повноцінні «руткіти» включають в себе функції кейлоггера, Сніф-ра, засоби для очищення журналів реєстрації та передачі зібраних даних по мережі, що дозволяє хакеру здійснювати повномасштабний хакинг системи.

Для систем Windows NT / 2000 / XP також активно ведеться розробка подібних наборів відмичок, і на сайті ROOTKIT СОМ (http://www.rootkit.com) пропонується для загального розгляду і апробації цілу купу різноманітних "рукрітов". Вхідні в «руткіти» програми функціонують як перехоплення-чики звернень програм до функцій ядра операційної системи, що позво-ляет «руткитам» приховувати процеси і ключі системного реєстру, перенаправляти виклики системних процедур на хакерські програми і т.д.

У зв'язку з цим дуже цікавий проект NTKap, в рамках якого створюється про-грами, що очищає всі списки ACL системи захисту (пам'ятаєте, ми говорили про це в розділі 4), роблячи комп'ютер відкритим для будь-яких маніпуляцій. Однак, судячи з повідомлень на форумах цього ж сайту, до повного успіху в справі ство-ня справжнього, повноцінного «руткита» систем Windows NT / 2000 / XP поки ще далеко. Тому всім бажаючим перевірити свої сили на сайті ROOTKIT COM пропонується завантажити вихідні коди програмного забезпечення «руткітів» і попрацювати над його удосконаленням. Так що, якщо вас це зацікавило ...

Висновок

Приховування слідів своєї роботи на комп'ютері та збереження своєї КОНФІДЕНЦ-ністю в Інтернеті - це неодмінна умова для успішної діяльності хакера без особливих перешкод (по крайней мере, якийсь час). Так що не варто нехтувати заходами свого захисту, по крайней мере, до придбання Незнач-якого досвіду. Як показано в цьому розділі, забезпечення своєї безпеки і кон-фіденціальності зовсім не так складно, якщо твердо, раз і назавжди подолати помилкове відчуття своєї анонімності і недосяжності під час перебування у віртуальному кіберпросторі, особливо на чужій території. І перестаньте користуватися домашніми телефонами - НЕ рийте яму самому собі! Адже 50% (вдумайтеся - половина!) Всіх так званих «хакерів» лізуть в чужий город з домашнього телефону - більшого ідіотизму важко собі уявити!

Для Антихакер всі ці міркування також мають безпосередній зна-чення - перебуваючи в кіберпросторі, дуже просто вступити в конфлікт з чу-жімі інтересами або з плутаними і туманними законами різних країн, або по-пащу під пильну увагу особистостей самого різного роду занять і на -клонностей [9]. Адже недарма нині на ринку програмних продуктів все ак-тивно пропонуються програми для захисту комп'ютерної конфіденційності, наприклад, Norton Personal Firewall, PGP Desktop Security і інші. Не варто ними нехтувати, якщо ви хочете комфортно почувати себе під час преба-вання в віртуальному комп'ютерному світі, який нині все більше і більше перетинається з нашим реальним, фізично відчутним світом.