Если Вы стали жертвой взлома...

Дата: 04.05.2004
Источник: www.crime-research.ru
Автор: Сергей Яремчук


Компьютеры и Интернет продолжают проникать и вторгаться в нашу жизнь, увеличивая тем самым вероятность оказаться жертвой компьютерного преступления. Как ни прискорбно замечать, (несмотря на обилие и разнообразие средств защиты), с каждым годом количество взломов увеличивается. Оказавшись жертвой взлома, некоторые, бывает, и теряются, что порой приводит к неправильным решениям. Наверное, одна из самых распространенных ошибок состоит в немедленном удалении всех данных и восстановлении системы из резервных архивов и продолжении работы как ни в чем не бывало (хотя настаивать на своем мнении не буду, бывают разные ситуации). Почему так? Во-первых, не всегда можно сразу точно узнать, когда произошел взлом, и в архиве могут быть уже «зараженные» тем же rootkits файлы; во-вторых, если повезло I с первым случаем, то где вероятность того, что злоумышленник не воспользуется тем же способом, что и ранее, для повторного проникновения, и в результате время будет потрачено зря, ^ и в-третьих, иногда трудно сказать, произошел ли взлом вообще, и чтобы доказать это, требуется * собрать максимальное количество информации, т.к. простой сервера ведет к финансовым потерям (а еще и имидж, и пр.), и кто-то должен отвечать за это.

Другой путь состоит в том, чтобы остановиться и попытаться исследовать и проанализировать происшедшее, а главное, сохранить образ взломанного компьютера. К сожалению, насчет вопроса исследования последствий взлома и используемых при этом инструментов в рунете имеется некоторый дефицит информации (а об описываемых ниже утилитах доводилось читать все, кроме того, чем они действительно занимаются), которую одной статьей так сразу и не решить. Но надеюсь вызвать дискуссию (на страницах журнала или в форуме), в которой попытаться разобраться и ответить на извечный вопрос «Что делать?» после взлома. Так, к планированию своих действий в этой ситуации нужно подходить не менее тщательно, чем к действию при пожаре.

Если на компьютере установлена одна из систем контроля целостности вроде tripwire http://www.tripwire.org AIDE - Advanced Intrusion Detection Environment http://sourceforge.net/projects/aide, а также система обнаружения вторжения наподобие Snort http://www.snort.org/, плюс средство аудита системы вроде того же Snare http://www.intersectalliance.com/projects/Snare/, то у вас будут ответы на основные вопросы - когда и где происходило событие, как все произошло, сколько времени и на какие файлы воздействовали в системе. Теперь осталось осторожно извлечь чужое и проанализировать подробнее.

Стандартные инструментальные средства, которые имеются в любой системе, для данного действия не подходят по нескольким причинам. Для начала они могут быть введены в заблуждение при помощи любого широко доступного rootkits, некоторые инструментальные средства полагаются на файловую систему или системные команды, чтобы исследовать диск и поэтому им также нельзя доверять. Затем системные инструментальные средства могут изменять нужные метаданные (например, время последнего обращения к файлу). И главное, системные утилиты позволяют найти только распределенные файлы, но специализированные могут найти и нераспределенные, т.е. удаленные или спрятанные файлы. И, наконец, дополнительно приведенные утилиты могут понадобиться для исследования файловой системы и процессов восстановления данных.

Разумеется, целенаправленное применение таких традиционных средств управления безопасностью, как антивирусное ПО, межсетевые экраны, средства криптографии и так далее, способствует предотвращению взлому. Однако в данном случае на сцену выходит человеческий фактор. Человек, конечный пользователь, оказывается самым слабым звеном системы информационной безопасности, и хакеры, зная это, умело применяют методы социальной инженерии. Какие бы ни были многоуровневые системы идентификации, от них нет никакого эффекта, если пользователи, к примеру, используют простые для взлома пароли. Вечное противостояние защиты и нападения продолжается. Специалисты по защите информации уже поняли, что вечно догонять хакерские технологии - бессмысленно, компьютерные злоумышленники всегда на шаг впереди.

Добавить комментарий

Всего 0 комментариев