Безопасность сетей

RETINA - средство поиска к-ретина

Хулиганы

Привет, кул-хацкер! Послушай, я слышал, что Вася Пупкин перешел-таки из 3-го класса в 4-й и стал настоящим Василием Пупло, это правда? Как не знаешь?! Ты же вроде с ним знаком? Что, нет? А, ты вообще с такими ребятами не общаешься и кодинг изучаешь? Ну, тогда поговорим о чем-нибудь недоступном Пупкину >:).

HI! ("Сам Х*@*" - слышу в ответ.) Пора тебе позабыть о нюках2000 и irc-floodах и заняться каким-нибудь делом (телек, к примеру, посмотреть). Ну а если и это не катит, то можно что-нибудь уничтожить для разнообразия и поднятия боевого духа. Но есть занятия и покруче - тетки там всякие и компутерное х... хулиганство. На последнем остановимся поподробнее.

Ну, наверное, тебе не надо объяснять, откуда байты берутся, так что сразу перейдем к делу (телу, станку, etc). Немного теории - для того чтобы что-нибудь взломать, нужно знать, как ломать и, главное, можно ли это вообще взломать. Как раз для этого взрослые дядьки давным-давно придумали порт-сканеры, сканеры и прочую бодягу для анализа портов, страничек, скриптов и т.п. на предмет разных дырявостей и жуков-багов (колорадских) в них. Так вот, eEye Digital Security (ЁГлаз Цифровой, Безопасный) написала прогу с именем Retina, которая и занимается всей этой шнягой. О ней и поговорим.

Сдаем анализ

Retina является идеальным средством как для администраторов, в качестве инструмента аудита безопасности, которое может быть настроено на полностью автоматизированную работу (детальный анализ безопасности и оповещения в случае обнаружения ошибок в защите), так и для нас, хацкеров, для обнаружения дыр в этой самой безопасности. Программа имеет большую базу багов, которая может быть легко обновлена, а это значит, что тебе не придется перерывать часами BugTraq в поиске описания новых прорех в защите.

По умолчанию Retina содержит четыре модуля.

Browser

Представляет собой встроенный Web Browser, выводящий детальную информацию об обозреваемом сайте: дату создания страницы, ее размер, дату последней модификации, текстовое содержание страницы и список линков на другие страницы - как локальные, так и находящиеся на других сайтах.

Miner

Данный модуль предназначен для поиска на веб-серверах дырявых скриптов и поиска файлов, потенциально содержащих важную информацию. Например, некоторые веб-приложения (доски объявлений, чаты, гостевые книги) хранят пароль администратора в доступных для всех местах). Модуль также предназначен и для поиска на серверах секретных/спрятанных страниц. Ну сам посуди - бывают же такие сволочи, которые ныкают от общественности пейджи с картинками крутых теть, а линки на них не ставят!

Scanner

Этот модуль как раз и подходит под определение Security Scanner. Он, в зависимости от установленных параметров сканирования удаленной системы, производит поиск следующих распространенных багов в безопасности систем и имеет так называемые умные возможности аудита систем:

- Поиск учетных записей, не имеющих пароля, записей, имеющих пароль обратный логину (zlob-bloz, dobro-orbod, etc), записей, имеющих пароль такой же, как и имя учетной записи (zlo-zlo), и учетных записей по умолчанию (например, guest, admin, supervisor и т.д).

- Возможность переполнения буфера в сервисах FTP, SMTP, POP, HTTP (использование длинных аргументов для основных команд данных сервисов - например, для HTTP сервиса GET AAAAAAAAAAAAAAAAAA... на 100кб и т.д.).

- Проверка надежности TCP/IP стека операционной системы. (Проверка ведется некоторым количеством фрагментированных IGMP пакетов (kiss oф death aka voidozer), Land-атака, OOB-Атака, TearDrop и др.)

- Аудит безопасности FTP сервиса (наличие anonymous доступа, поиск директорий, в которые разрешен доступ на запись для anonymous, переполнение буфера в некоторых версиях ftpd, дающий возможность удаленного исполнения команд с правами пользователя, из-под которого запущен ftp сервер (частенько это бывает root).

- Поиск заданных сетевых сервисов - порт сканнер, в котором вы можете задать список или промежуток сетевых портов(TCP/UDP) для сканирования. Поиск сервисов, которые установлены на некоторых системах по умолчанию и позволяющих получить множество полезной информации для взломщика, например: netstat (15 порт) выводит полную информацию о всех сетевых подключениях к машине или systat (11 порт) выводит список всех процессов в системе, что эквивалентно набору "ps aux".

- Аудит безопасности почтовых серверов работающих по протоколам SMTP/IMAP/POP3/POP2. (Например поиск открытых SMTP серверов для спама или поиск серверов с установленными дырявыми версиями почтовых сервисов, позволяющих удаленное исполнение команд).

- Поиск расшаренных сетевых ресурсов машин, работающих под Windows или под UNIX, с установленным сервисом Samba и поиск расшаренных ресурсов через nfs сервис (nfs - cетевая файловая система).

- Поиск установленных средств удаленного администрирования, например, троянов NetBus или Back Orifice, или легальных средств удаленного администрирования, таких как PcAnywhere.

- Доскональный аудит безопасности WindowsNT систем, на которые, собственно, данный продукт и ориентирован (гораздо меньшее место в продукте уделяется аудиту безопасности UNIX систем):

- Детальный анализ реестра WindowsNT-серверов.

- Анализ безопасности IIS.

- Возможность получения списка пользователей с удаленной системы.

- Другие тесты безопасности, специфичные для NT систем.

Tracer

Tracer не является чем-то уникальным и представляет собой простую графическую модификацию программы traceroute (в Windows tracert), выводящую список узлов, через которые проходит пакет, прежде чем доходит до своей цели, плюс время прохода пакетом каждого отрезка этого пути. Иногда бывает очень интересно наблюдать, как пакеты для соседнего дома путешествуют через Алабаму. ;)

Помимо всего того что было выше, она может еще (см. ниже):

- производить сканирование больших промежутков IP-адресов;

- задавать расписание для регулярной проверки безопасности заданных систем-целей (если вдруг там новый сисоп НТю криво переставил, то мы уже на подходе ;);

- оповещение о результатах сканирования по почте или путем отсылки winpopup-сообщения или просто вывод диалога и звукового сигнала;

- генерация детальных отчетов о сканировании систем с выводом в html формате и составление графиков, а также общая оценка защищенности системы;

- регулировать производительность программы путем задания количества потоков создаваемых программой при работе;

- также есть выбор цветового оформления сканера ;), жалко, что только вот скины нельзя для него использовать;

- создание своих сценариев для сканирования систем, выбора типов сканирования из трех возможных:

Smart scan - производить идентификацию протокола на найденных открытых портах.

Force scan - продолжать сканирование системы, даже если она не отвечает на PING запросы.

Brute Force - (метод грубой силы, то есть составление всех возможных комбинаций скана) подборка паролей и другие злобные bruteforceные операции.

- автоматическое обновление базы данных тестов безопасности с сайта разработчика.

Сдуть!

Короче, бабуля что надо! Интерфейс интуитивно понятный (видимо у разработчиков руки растут откуда надо, а не откуда обычно), и разобраться в нем просто - как 127.0.0.1 порутить =). Панельки, кнопочки, картиночки и вся тому подобная мишура сделаны со вкусом, так что все приятно и аккуратно.

Сдуть (к)-Retina мона с сайта компании eEye Digital Security - http://www.eeye.com. Прога доступна для безвозмездного скачивания, но эти америкосы-папуасы дадут нам порадоваться ею всего 30 дней; правда, если набрать www.astalavista.box.sk, то куда-то мы попадем... ну ты и сам знаешь куда :). Кстати, работает эта прога только под Windows NT/2000, а следовательно, пользователи 9* WIN отдыхают.

www.sdteam.com

Слежка в законе 05-10-2007 Безопасность сетей
В Великобритании собираются ввести поправки,которые обяжут пользователей передавать ключи шифрования своих данных по требованию властей.В случае отказа в разных случаях можно будет схватить от 2 до 5 лет тюрьмы.Министерство внутренних дел говорит, что эти действия соответствуют с Европейской конвенцией о правах человека и требования властей "необходимые и соразмерные"."Эти меры предназначены для обеспечения государственной безопасно...

WatchGuard улучшил защиту Zero-Day в UTM-устройствах Firebox 28-09-2007 Безопасность сетей
Москва, 26 сентября 2007 года – Rainbow Technologies (www.rainbow.msk.ru) – единственный дистрибьютор WatchGuard Technologies (www.watchguard.com) на территории России и стран СНГ сообщает, что в UTM-устройствах Firebox улучшена защита Zero-Day, обеспечивающая безопасность компьютерных сетей от новых неизвестных атак в период, когда еще нет сигнатур. Реализованная в Firebox линеек Core и Peak технология Zero-Day защищает от угроз в момент их появ...

Unisys винят в хакерских атаках на компьютеры Министерства национальной безопасности 27-09-2007 Безопасность сетей
На днях стало известно, что Федеральное бюро расследований начало следствие по заявлению о том, что зарубежные хакеры повторно атаковали компьютеры Министерства национальной безопасности США. Запрос на проведение расследования в ФБР направили конгрессмены Джеймс Ланжевен и Бенни Томпсон, демократ от штата Миссисипи и глава Комитета внутренней безопасности Палаты представителей, сообщает агентство Reuters. Томпсон также потребовал проверить, какие...