Статьи

11 Июня, 2002

Организация безопасности сервисов Microsoft

Отключите ненужные сервисы. Это обычный совет, который дается почти в каждой книге, технической документации или лекции по безопасности. Но на этом совет обычно и заканчивается, оставляя системных администраторов в неведении относительно того, что такое ненужные сервисы и как их лучше всего отключить. Несомненно, достаточно просто войти в "Administrative tools", затем в "Services" и увидеть список всех сервисов. И также просто дважды нажать мышью на сервис, который вы не используете, и установить "Startup Type" в disabled. Но есть ли еще что-то кроме этого для организации безопасности сервисов?
6 Июня, 2002

Политика безопасности. Краткий обзор защитных политик. (часть первая)

Эта статья - первая из цикла, посвященного обсуждению того, как информационная политика безопасности может использоваться для защиты ценных информационных активов организации. В нашем мире, где, по существу, происходит информационная и технологическая гонка, где эксплоиты к самому последнему IIS соревнуются в скорости появления с соответствующими заплатами, где постоянно растущее число различных операционных систем и приложений к ним вскорости превысит все уменьшающееся из-за этого количество волос на голове системного администратора (которые, надеюсь, еще не стали седыми), политика дает нам возможность изменить темп этой гонки, заставить игру идти по нашим собственным правилам.
4 Июня, 2002

PortSentry для обнаружения нападения, часть первая, методы работы

Portsentry от Psionic Technologies – один из трех компонентов системы обнаружения вторжения TriSentry. В этой статье мы подробно опишем теоретические и технические методы работы Portsentry. Во второй части мы обсудим установку и конфигурирование PortSentry на конкретных примерах.
27 Мая, 2002

Основы социотехники (искусства обмана), часть 2. Стратегия предотвращения

Перед вами вторая часть статьи, посвященной социотехнике. В первой части мы определили социотехнику как умные манипуляции хакера на естественной человеческой черте – доверии с целью получения информации, которая даст ему неправомочный доступ к ценной системе и информации, которая на ней находится. Основная цель социотехники такая же, как и у взлома вообще – получить недозволенный доступ к системам или информации с целью совершения мошенничества, сетевого вторжения, индустриального шпионажа, или просто разрушения системы или сети.
20 Мая, 2002

Сигнатуры систем обнаружения вторжения, часть вторая

В этой статье мы более подробно продолжим обсуждение значений заголовков IP-протокола, используя примеры конкретных сигнатур. Хотя относительно легко создать сигнатуру, соответствующую специфическому типу трафика, гораздо труднее учесть в ней минимальное количество ложных сигналов тревоги и не отфильтрованных вредных пакетов. Все сигнатуры должны быть тщательно проверены и доработаны, чтобы создать высокоточные и эффективные подписи.
16 Мая, 2002

Закладки в ОС - практика.

Закладки - это недокументированные функции системы, заложенные создателем сознательно. Закладка может находиться в любом месте: в прикладной программе, в ядре ОС или даже в компиляторе. Назначение закладок - дать создателю системы более широкие возможности, чем рядовому пользователю или администратору, не знающему о закладке, в случае ОС или сетевых сервисов - удаленный контроль над системой. Рассмотрим на практике внедрение закладки в Unix-like систему.
13 Мая, 2002

Основы социотехники (искусства обмана), часть 1. Тактика хакеров.

Однажды утром, несколько лет тому назад, группа незнакомцев вошла в большую фирму и вышла с доступом ко всей корпоративной сети фирмы. Как они сделали это? Получая маленькие количества доступа, понемногу от множества служащих в той фирме. Сначала они в течение двух дней изучили компанию перед тем, как войти в нее. Например, они узнали имена ключевых служащих. Затем они притворились, что потеряли ключ от парадной двери, и кто-то впустил их. Затем они «потеряли» свои идентификационные карточки при входе на третий защищенный уровень, улыбнулись, и добрый служащий открыл им дверь.
6 Мая, 2002

Система обнаружения вторжения с использованием встроенных средств Windows

Не возникало ли у вас ощущения, что защита вашего сайта была виртуозно пройдена, и вы об этом не знаете? Несомненно, вы можете своевременно устанавливать заплаты, правильно настраивать ACL, однако всем известно, что каждую неделю выпускаются десятки новых эксплоитов, причем многие из них никогда не будут обнародованы. Так как вы же убедиться, что вы защищены? Иногда кажется, что с работой программ что-то не в порядке из-за того, что вы были атакованы. И хотя большинство атакующих оставляют следы, по которым можно просто обнаружить вторжение, но некоторые самые опытные хакеры профессионалы проникают незаметно и не оставляют никаких улик, что вдвойне опасно.
29 Апреля, 2002

Сигнатуры систем обнаружения вторжения, часть первая

Это первая часть из цикла статей, посвященных пониманию и развитию сигнатур для систем обнаружения вторжения. В этой статье мы обсудим основы IDS сигнатур и подробнее остановимся на сигнатурах, использующих значение IP, TCP, UDP и ICMP заголовков.
29 Апреля, 2002

TCP-спуфинг: пошлая сказка.

Я уже устал читать как две капли воды похожие друг на друга статьи про TCP-спуфинг. В одном только Хакере за 2002 год было уже две таких статьи. Господа авторы уже четыре года бездумно передирают одну и ту же статью, не замечая одного грустного факта. Хочу раскрыть им глаза. Читать с выражением: Лю-у-у-уди! Спуфинга не бывааааает! Его уже давно не бывает...
26 Апреля, 2002

syn-flood атака - практика

Некоторые провайдеры (и чем дальше, тем больше таких появляется) фильтруют трафик своих клиентов на предмет подделки адреса отправителя. Есть большая вероятность, что возможнось спуфинга ограничивается подсетью класса C. Кроме того, хост, адрес которого указывается в запросе на подключение, не должен реагировать на ответы сервера - проще всего выбрать адрес, на котором нет машины. При практической реализации, особенно создавая универсальный инструмент для координированной атаки, нужно учитывать эти две особенности, и проводить атаку только со своей подсети и с тех адресов, которые не отвечают. Еще одна проблема - для проведения атаки необходимо иметь администраторские привелегии.
24 Апреля, 2002

Организация защиты передачи информации в Windows 2000 с использование фильтров IP Security, Часть 2.

Перед вами вторая часть обзора о применении фильтров IP безопасности (IP Security) в Windows 2000. В первой статье содержался краткий обзор политики IP безопасности, включая создание, проверку, и расширение политики IP безопасности. В этом части мы обсудим шифрование Windows-систем и применение фильтров IP безопасности.
16 Апреля, 2002

Организация защиты передачи информации в Windows 2000 с использованием фильтров IP Security, Часть 1.

С выходом Windows 2000 появилась новая возможность –IP Security, позволяющая более детально контролировать IP-трафик, чем TCP/IP фильтрация (TCP/IP Filtering) его предшественника – Windows NT4. При включении TCP/IP фильтрация действовала сразу на все сетевые адаптеры в системе, и поменять можно было только используемый протокол. Например, не было возможности разрешить NetBIOS соединения только с избранных хостов, а HTTP с любых.
10 Апреля, 2002

Блокирование поведения: следующий шаг в антивирусной защите (часть вторая)

Существующие системы блокирования поведения могут быть разбиты на две категории: системы блокирования на основе политики и системы блокирования на основе экспертизы. Системы на основе политики позволяют администратору задать явную политику блокирования, определяющую, какие запросы дозволены, а какие должны быть заблокированы. Каждый раз, когда программа делает запрос операционной системе, защитная система прерывает его, консультируется со своей базой данных политики и либо позволяет продолжить запрос, либо полностью его прерывает.
4 Апреля, 2002

Блокирование поведения: следующий шаг в антивирусной защите (часть первая)

До того, как наступила эпоха современных быстрых саморазмножающихся вирусов, основная функция антивирусного программного обеспечения состояла в предотвращении инфицирования путем предварительного выявления характерных «отпечатков» вируса и добавления профилактической защиты и против данного типа компьютерного вируса. То есть раньше производители антивирусов были способны выявить новые «отпечатки» до того, как вирус успевал широко распространиться. Причем появление защиты опережало волну эпидемии вируса на неделю-две, и модифицированная компьютерная защита с легкостью гасила вирусную волну, не допуская ее распространения. Конечно, причиной этого была невысокая скорость традиционного распространения вирусов - только в случае, когда люди обменивались инфицированными файлами. Но, в любом случае, антивирусное программное обеспечение блокировало начальную инфекцию, предотвращая заражение машин, предохраняя ценные файлы от порчи, а людей от потребности в дорогостоящей ручной очистке машин и длительного времени простоя компьютеров.