Internet and intrusion to the users' privacy |
Интернет и вторжение в приватность пользователей |
1. CGI, environment variables and IP-addresses |
1. CGI, переменные окружения и IP-адреса |
| Спецификация Common Gateway Interface ("общий шлюзовой интерфейс") описывает взаимодействие Web-сервера с клиентами в Интернет (в самом распространенном случае, это будет браузер). В этой же спецификации определены переменные окружения, которые можно использовать и для нарушения приватности. Но здесь нет никакого злого умысла ни проектировщиков Интернет, ни веб-мастеров, это - вопрос больше этический, просто таковы "правила игры". Я приведу список переменных в нотации Perl, доступных Web-серверу, с помощью которых можно собирать информацию о посетителях сайта, с их краткой расшифровкой: |
- "REMOTE_ADDR" - IP-адрес узла удаленного клиента, делающего запрос;
- "REMOTE_HOST" - имя узла, с которого производится запрос;
- "HTTP_USER_AGENT" - тип удаленного клиента (браузер, реже - робот-странник и т.п.), делающего запрос (строка, которая выдает описание, версию и тип операционной системы);
- "HTTP_REFERER" - адрес документа, ссылающегося на файл инициировавший соединение, чаще всего - это адрес, откуда вы зашли на данную страницу.
|
| Это может использоваться для построения безобидных счетчиков или ведения статистики посетителей страницы, ограничения доступа к сайту пользователей определенных доменов, до построения систем слежения за посетителями и сбора информации о них. |
Ineractive communication |
Интерактивное общение |
| IP-адрес пользователя легко добывается используя средства общения "real-time", зная UIN (номер) ICQ (сниферром, демаскирующим IP-адрес), в IRC (командой "/whois), в InternetPhone. |
E-Mail |
E-Mail |
| Из заголовка полученной по электронной почте послания определяется IP-адрес отправителя (чаще всего он в последнем поле "Received"). Кроме этого, из заголовка письма определяется: тип почтового клиента, почтового сервера отправителя, время и дата посыла, часовой пояс. Другими словами данных для идентификации отправителя достаточно. Далее не стану сгущать краски... |
Хакерский анекдот: |
| - Какая у меня судьба будет, бабушка? |
| - Скажи-ка, внучка, мне свой IP... |
2. Cookies |
2. Cookies |
| "Cookies" - (дословно, в переводе с английского - "печеньица", "булочки") текстовые строки, ассоциированные с документом. Они задумывались как альтернатива полям типа "hidden" в html-формах для обмена информацией между html-документами. На использовании cookies построено, например, аутентификация пользователей e-mail эккаунта в течение определенного, заданного в настройках времени, для того, чтобы не вводить пароль при каждом посыле. Их применяют в системах баннерного обмена. Однако их же можно использовать для похищения учетных записей или для сбора информации о посетителях. Простейшее, что можно порекомендовать - после завершения работы с почтой с Web-интерфейсом не просто закрывать окно браузера, а нажимать "logout" (выход из сеанса), который корректно сбросит (удалит) "Cookies". Есть, также, много программ фильтрующих "печеньица" по заданным критериям. |
3. ActiveX |
3. ActiveX |
| Технология ActiveX, наряду с языком сценариев "Visual Basic Script" - это ответ Microsoft на возрастающую популярность браузера Netscape Navigator: с "Java", технологиями plugin-ов (расширителей функций), языком активных сценариев "JavaScript", делающий веб-страницы, созданные специально для Internet Explorer, несовместимыми с браузером Navigator. Хотя сам термин и технология - это не более чем коммерческий трюк. Однако, ActiveX работающий с Win-API и машинными командами гораздо опаснее, чем, к примеру, та же "Java". Теоретически ActiveX способен на все "прелести" известные по вирусам и "троянцам", от перехватывания ввода с клавиатуры для слежения за действиями пользователя или похищения паролей, до разрушения данных на диске, запроса уникального идентификатора процессора по команде "CPUID". Список можно продолжать, но жаль места и времени... |
| Для успокоения мировой общественности и пользователей Internet Explorer Microsoft выдвинул сертификацию ActiveX и цифровые подписи, доверенные зоны Интернет. Но это - перекладывание ответственности на сторонние фирмы и создание очередных коммерческих альянсов для продвижения своих программных продуктов. |
4. Save "unsafe" Java |
4. Опасная "безопасная" Java |
| В целом технология "Java" от Sun и Netscape куда более безопасна по сравнению с ActiveX, за что и заслужила мировое признание разработчиков. Но есть несколько "но": |
- С помощью "Java"-апплета встроенного в html-страницу можно перехватывать клавиатурный ввод пользователя и пересылать его дальше.
- "Java"-апплет позволяет производить захват вычислительных или сетевых ресурсов. Первое можно использовать для построения распределенных вычислительных систем, обрабатывающих задачи без ведома пользователей, создавая де-факто негласную мощную сеть. Второе - использовать для построения распределенных сетевых атак или перебора паролей методом "грубой силы".
- Апплет может запросто "повесить" клиента. Некоторые хакерские наработки используют ошибки, допущенные при проектировании языка "Java". Этим ошибкам подвержены реализации "Java" на разных операционных системах (не только для Windows, но и для OS/2, Unix).
- Доверяя "Java"-технологиям мы, фактически, передоверяем безопасность компьютерной системы разработчику виртуальных "Java"-машин, закрывая глаза на возможные ошибки в конкретной реализации. Найдены бреши в безопасности "Java" как в Netscape Navigator (версии 4.x), так и у Microsoft VM (идущими с поставкой Internet Explorer версии выше четвертой включительно).
|
3. Find and manipulate any log files |
3. Нахождение и манипулирование журналами регистрации |
| It's important that you find all logfiles - even the hidden ones. To find any kind of logfiles there are two easy possibilities: |
Важно если вы найдете все, даже скрытые, журналы протоколирования активности. Для нахождения любых журналов существует два легких способа: |
| 1) Find all open files. |
1) Найти все открытые файлы. |
| Since all logfiles must write somewhere, get the cute program LSOF - LiSt Open Files - to see them ... check them ... and if necessary correct them |
Так как все журналы должны куда-то производить запись, достаньте "сообразительную" программку "LSOF" - LiSt Open Files, для того чтобы их увидеть... Проверьте их... и, если необходимо, поправьте их. |
| 2) Search for all files changed after your login. |
2) Ищите все файлы, которые были изменены после вашего входа (login) в систему. |
| After your login do a "touch /tmp/check" then work on. Later just do a "find / -newer /tmp/check -print" and check them if any of those are audit files. see>check>correct. Note that not all versions of find support the -newer option You can also do a "find / -ctime 0 -print" or "find / -cmin 0 -print" to find them. |
После входа в систему сделайте "touch /tmp/check", затем продолжайте работу. Позже выполните только "find / -newer /tmp/check -print" и проверьте файлы, есть ли среди них файлы аудита. Заметьте, что не все версии "find" поддерживают опцию "-newer". Можно также выполнить "find / -ctime 0 -print" или "find / - cmin 0 -print" для нахождения файлов с журналами. |
| Check all logfiles you find. Normally they are in /usr/adm, /var/adm or /var/log. |
Проверьте все лог-файлы, которые вы отыскали. Обычно они находятся в "/usr/adm", "/var/adm" или "/var/log". |
| If things are logged to @loghost then you are in trouble. You need to hack the loghost machine to modify the logs there too... |
Если так случилось, что вы пишетесь и в "@loghost", то вы попали в беду. Вам необходимо взломать машину "loghost" и там тоже модифицировать журналы регистрации... |
| To manipulate the logs you can either do things like "grep -v", or do a linecount with wc, and then cut off the last 10 lines with "head -LineNumbersMinus10", or use an editor etc. |
Для манипуляции журналами вы можете использовать команды вроде "grep -v", или производить подсчет строк с помощью "wc", и затем вырезать последние 10 строк с "head - ("номер строки" - 10)", или проделать это же, используя редактор. |
| If the log/audit files are not textfiles but datarecords... identify the software which writes the logfiles. Then get the sourcecode. Then find the matching header file which defines the structure of the file. Get zap, clear, cloak etc. and rewrite it with the header file to use with this special kind of logfile (and it would be kind to publish your new program to the hacker society to safe others much work). |
Если лог-файлы или файлы аудита не являются текстовыми файлами, но записями данных ... идентифицируйте программу, которая пишет в журналы. Затем достаньте исходники с кодами. После этого найдите соответствующий заголовочный файл, в котором определена структура файла. Возьмите "zap", "clear", "cloak" или что-нибудь похожее, и, используя новый заголовочный файл, перепишите программу для работы с этим специфическим типом лог-файлов (было бы очень любезно с вашей стороны опубликовать новую программу для хакерского сообщества, чтобы сэкономить другим их труд). |
| If accouting is installed then you can use the acct-cleaner from zhart, also in this release - it works and is great! |
Если инсталлирован учетный журнал, тогда вы можете применить "acct-cleaner" из "zhart" , в текущей версии - он работает и прекрасно работает! |
| A small gimmick if you must modify wtmp but can't compile a source and no perl etc. is installed (worked on SCO but not on Linux) : Do a uuencode of WTMP. Run vi, scroll down to the end of the file, and and delete the last 4 (!) lines beginning with "M"... then save+exit, uudecode. Then the last 5 WTMP entries are deleted ;-) |
Небольшая хитрость если вы должны модифицировать "WTMP", но нет возможности компилировать исходники и нет инсталлированного "perl" (работает в SCO, но не в linux): cделайте "uuencode" журнала "WTMP". Запустите "vi", переместитесь в конец файла, и удалите последних 4 (!) строки начинающихся с "M"... , затем "save+exit", "uudecode". После этого последних 5 записей в "WTMP" удалены ;) |
| If the system uses WMTPX and UTMPX as well you are in trouble... I don't know any cleaner so far who can handle them. Program one and make it available for the scene. |
Если в системе используются "WMTPX" и "UTMPX", то вы снова попали в беду... Мне не известна ни одна утилита очистки, которая умела с ними работать. Напишите такую программу и сделайте ее всеобщим достоянием. |
| Кроме всего есть примитивный способ - забить журналы протоколирования активности малоинформативными записями. На этом принципе построена DoS-атака забивающая пространство жесткого диска разросшимся журналом и, тем самым, лишающая сервер свободного места на диске. Это может привести к краху системы. Читатели в письмах простят меня давать почаще расшифровку терминов: "DoS" - аббревиатура от "Denial of Service", в дословном переводе - "отказ в обслуживании". Так называют целый класс атак основанных на подавлении какого-либо системного сервиса, отключении его, или забивании его ресурсов, что приводит либо, в лучшем случае к медленной работе, либо к его отключению, либо к краху системы. Среди хакеров это не приветствуется, расценивается как хулиганство и вандализм, что недостойно "мастера" и противоречит принципу хакерской этики: "Не наноси намеренно вреда никакой системе". Однако, такие атаки допустимы против спамеров, для устрашения противника или для намеренного выведения системы из строя для последующей автоматической перезагрузки чтобы изменения, сделанные взломщиком, вступили в силу. |
Internet Information Server |
Internet Information Server |
| Internet Information Server ("информационный Интернет сервер") от Microsoft -основное средство обеспечивающее взаимодействие Windows-серверов с Интернет, включает следующие компоненты: |
- ISM (Internet Service Manager) - программное средство администрирования;
- Служба WWW (World Wide Web)- средство публикации информации в Web;
- Служба Gopher - средство публикации текстовых файлов "библиотек", с встроенным облегченным поиском по ключевым словам;
- Служба FTP (File Transfer Protocol) - средство обмена файлами с сервером;
- Internet Explorer - браузер для просмотра Web-узлов;
- Драйверы ODBC (Open Database Connectivity) - API (драйвера и программы управления) для интегрирования баз данных с Web-страницами;
- Файлы подсказок, примеров, шаблонов для создания Web-узлов.
|
| Далее приведена краткая таблица с размещением файлов IIS, где предполагается, что IIS был установлен на локальный жесткий диск "C" в корневую директорию и названия каталогов даваемые при установке "по умолчанию" не изменялись. |
