LXF170:Взлом сети

Версия 12:10, 15 ноября 2018

ВЗЛОМ СЕТИ

Во­ров­ст­во па­ро­лей >>, Взлом WordPress >> Экс­плуа­та­ция уяз­ви­мо­стей » Ата­ки DDoS.

При­сое­ди­ним­ся к Бе­ну Эве­рар­ду в его пу­те­ше­ст­вии на тем­ную сто­ро­ну*.

Ис­кусст­во мани­пулиро­вать чужим ком­пьютером, что­бы де­лать все что угод­но без раз­ре­шения... одни на­зы­ва­ют его ха­кер­ст­вом, д­ругие — взло­мом или тес­ти­ро­ванием воз­мож­но­сти проник­но­вения в сис­те­му. Пра­ви­тель­ст­ва, бизнес­ме­ны, дис­си­ден­ты, ску­чаю­щие ком­пь­ю­тер­ные про­фес­сио­на­лы и пре­ступники ата­ку­ют друг дру­га — и обыч­ных поль­зо­ва­те­лей — еже­днев­но.

Ха­кер­ст­во бы­ва­ет раз­ное, но мы рас­смот­рим здесь се­те­вые ата­ки, по­сколь­ку имен­но они боль­ше все­го за­тра­ги­ва­ют обыч­ных лю­дей. Не­ко­то­рые из этих атак, на­при­мер, мсти­тель­ные ата­ки груп­пы Anonymous, ста­но­ви­лись ши­ро­ко из­вест­ны, по­сколь­ку пе­ре­во­ди­ли сай­ты в ре­жим оф­флайн или до­бав­ля­ли граф­фи­ти на глав­ные страницы сай­тов. О дру­гих со­об­ща­ют очень ред­ко, хо­тя они про­ис­хо­дят что ни день, при­но­ся пре­ступникам со­лид­ные сум­мы.

Ес­ли у вас есть сайт, вы, без со­мнения, на­блю­да­ли мно­же­ст­во по­пы­ток ата­ки по за­пи­сям в сво­ем жур­на­ле. Бу­ду­чи поль­зо­ва­те­лем, вы, ско­рее все­го, на­блю­да­ли ре­зуль­та­ты этих атак в ви­де спа­ма (помните эти зав­ле­ка­тель­ные ссыл­ки?); а мо­жет, вам силь­но не по­вез­ло, и вы ли­ши­лись некой лич­ной ин­фор­ма­ции, когда был ата­ко­ван сер­вер.

В лю­бом слу­чае, мы все жи­вем в тес­но связан­ном ми­ре, в ко­то­ром все боль­ше и боль­ше на­ших цен­но­стей хра­нят­ся в циф­ро­вых хранили­щах, а не в фи­зи­че­­ских сей­фах. Ос­та­ет­ся или про­сто устроиться по­удобнее и ждать, когда пра­ви­тель­ст­во и про­вай­де­ры нас за­щи­тят, или са­мим осоз­нать все воз­мож­ные уг­ро­зы и за­нять­ся са­мо­за­щи­той.

Мы по­ка­жем вам не­ко­то­рые ха­кер­ские ин­ст­ру­мен­ты из­нут­ри, по­то­му что за­щи­тить се­бя мож­но, толь­ко разобравшись, от че­го за­щи­щаешь­ся.

Мы рас­смот­рим че­ты­ре раз­ных ти­па атак – от­каз в об­слу­жи­вании (DDoS), «по­сре­дник [man-in-the-middle]», меж­сай­то­вый скрип­тинг и ата­ки внедрения – и по­ка­жем, как имен­но их ис­поль­зу­ют пре­ступники в на­ше вре­мя и что на­до сде­лать, что­бы вы са­ми или ваш сайт не па­ли их жерт­ва­ми.

*Пра­во­вое обосно­вание

В раз­ных стра­нах за­ко­ны о ха­кер­ст­ве раз­ные, и мы не мо­жем дать кон­крет­ных юри­ди­че­­ских со­ве­тов. Но бу­дет обосно­ван­но зая­вить, что при­менение лю­бой из опи­сы­вае­мых здесь тех­но­ло­гий к сай­ту без раз­ре­шения от его вла­дель­ца на та­ко­вое во мно­гих стра­нах яв­ля­ет­ся неза­кон­ным.

Ес­ли вы ра­бо­тае­те в ком­пании или в ор­ганиза­ции, у вас долж­но быть пись­мен­ное раз­ре­шение от со­от­вет­ст­вую­щих долж­но­ст­ных лиц на про­ве­дение ука­зан­ных ме­ро­прия­тий. Так вы за­страхуе­те се­бя от воз­мож­ных про­блем при недо­понимании про­ис­хо­дя­ще­го.

«Мы по­ка­жем вам ха­кер­ские ин­ст­ру­мен­ты из­нут­ри.»

СЕ­ТИ

Взлом WordPress

Ата­ка на web-при­ло­жение.

По ме­ре роста мо­щи HTML5 и ско­ро­сти JavaScript, web-при­ло­жения рас­про­стра­ня­ют­ся все ши­ре. Ubuntu и неко­то­рые дру­гие ди­ст­ри­бу­ти­вы об­ра­ща­ют­ся с ними, как с при­ло­жения­ми пер­вого ряда, а Mozilla соз­да­ет смарт­фон, строя­щий все свои функ­ции имен­но на них. Од­на­ко вме­сте с ними на пе­редний план вы­хо­дят уяз­ви­мо­сти, ко­то­рых рань­ше не бы­ло.

Мы рас­смот­рим данную об­ласть, ис­поль­зуя в ка­че­­ст­ве при­ме­ра WordPress – не по­то­му, что это пло­хое при­ло­жение, а по­то­му, что его по­пу­ляр­ность и спо­соб­ность к рас­ши­рению сде­ла­ли его ми­ше­нью для атак. Ни од­на из опи­сы­вае­мых здесь атак не уникаль­на для этой плат­фор­мы, и они ха­рак­тер­ны для мно­гих web-при­ло­жений, вне за­ви­си­мо­сти от то­го, построены ли они на CMS.

По­сколь­ку мы пред­по­чи­та­ем по­ка­зать, как ра­бо­та­ет ата­ка, а не по­яс­нять ее, мы соз­да­ли вир­ту­аль­ную ма­ши­ну (ВМ), на ко­то­рой ра­бо­та­ет уяз­ви­мая вер­сия WordPress. Она име­ет­ся на дис­ке, и ее мож­но ска­чать с www.linuxformat.com/content/downloads.

Об­за­ве­дясь ею, сле­дуй­те ниже­при­ве­ден­но­му по­ша­го­во­му ру­ко­во­дству по уста­нов­ке. Вам по­на­до­бит­ся VirtualBox; в осталь­ном она ра­бо­та­ет поч­ти на лю­бом ди­ст­ри­бу­ти­ве. Мы ис­поль­зо­ва­ли фор­мат бло­гов в WordPress, что­бы по­ка­зать, как ее взло­мать, так что за­пускай­те ее и при­сту­пай­те.

Как толь­ко вы об­на­ру­жи­те ата­ку, блог так­же со­об­щит вам в под­роб­но­стях, как за­щи­тить­ся, что­бы про­ве­рить, уда­ст­ся ли за­де­лать ды­ры в сис­теме безо­пас­но­сти, пре­ж­де чем дви­гать­ся даль­ше.

За­щи­ти­те се­бя

Ес­ли вы ра­бо­тае­те в web-при­ло­жении, вы про­сто обя­за­ны осоз­на­вать все рис­ки. Уяз­ви­мо­сти мо­гут зай­ти даль­ше са­мо­го при­ло­жения, по­сколь­ку ата­кую­ще­му, воз­мож­но, уда­ст­ся за­хва­тить кон­троль над сер­ве­ром. Ес­ли вы ис­поль­зуе­те го­то­вое ПО (ти­па WordPress), непло­хо за­помнить та­кое пра­ви­ло:

• Метамодернизм в позднем творчестве В.Г. Сорокина
• ЛитРПГ - последняя отрыжка постмодерна
• "Ричард III и семиотика"
• 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
• Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
• Литература
• Метамодерн
• Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
• Как избавиться от комаров? Лучшие типы ловушек.
• Что делать если роблокс вылетает на windows
• Что делать, если ребенок смотрит порно?
• Почему собака прыгает на людей при встрече?
• Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
• О чем может рассказать хвост вашей кошки?
• Верветки
• Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
• Срок исковой давности как правильно рассчитать
• Дмитрий Патрушев минсельхоз будет ли преемником Путина
• Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
• Как правильно выбрать машинное масло в Димитровграде?
• Как стать богатым и знаменитым в России?
• Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
• Как стать мудрецом?
• Как правильно установить FreeBSD
• Как стать таким как Путин?
• Где лучше жить - в Димитровграде или в Ульяновске?
• Почему город Димитровград так называется?
• Что такое метамодерн?
• ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
• Тарифы на электроэнергию для майнеров предложено повыситьчем про­ще и стан­дартнее ПО, тем лег­че быть в кур­се дел и по­сто­ян­но под­дер­жи­вать об­нов­ления. Всегда про­ве­ряй­те, что­бы у вас бы­ла са­мая по­след­няя вер­сия всех про­грамм.

Intrusion Detection Systems [Сис­те­ма Об­на­ру­жения Втор­жения] и Intrusion Prevention Systems [Сис­те­мы Пре­дот­вра­щения Втор­жения] (IDSs и IPSs) по­мо­га­ют снизить ущерб, при­чи­няе­мый ата­кую­щим, од­на­ко не сто­ит счи­тать их эта­ки­ми се­реб­ря­ны­ми пу­ля­ми, спо­соб­ны­ми раз­ре­шить все ва­ши про­бле­мы с безо­пас­но­стью. И не менее важ­но, что­бы у вас бы­ли уста­нов­ле­ны и долж­ным об­ра­зом на­строе­ны SELinux или AppArmour.

Ес­ли вы ис­поль­зуе­те спе­циа­ли­зи­ро­ван­ное web-при­ло­жение, вы долж­ны быть уве­ре­ны, что вам зна­ко­мы раз­ные тех­но­ло­гии, ис­поль­зуе­мые ата­кую­щи­ми. От­лич­ный стар­то­вый пункт – сайт OWASP (Open Source Web Applications Security Project – Про­ект безо­пас­но­сти web-при­ло­жений с от­кры­тым ко­дом), https://www.owasp.org. Ес­ли на ва­шем сай­те хра­нят­ся важ­ные дан­ные, сто­ит по­со­ве­то­вать­ся со спе­циа­ли­стом по по­во­ду обес­пе­чения безо­пас­но­сти их хранения.