Журнал LinuxFormat - перейти на главную

LXF170:Взлом сети

Материал из Linuxformat
(Различия между версиями)
Перейти к: навигация, поиск
(Новая страница: «Категория: Главное в мире Linux == ВЗЛОМ СЕТИ == ''Во­ров­ст­во па­ро­лей >>, Взлом WordPress >> Эк…»)
 
(За­щи­ти­те се­бя)
Строка 42: Строка 42:
  
 
===За­щи­ти­те се­бя===
 
===За­щи­ти­те се­бя===
 
+
{{Врезка|right|Ширина=40%|Заголовок=Уровни за­щи­ты |Содержание=
 +
Аб­со­лют­ной безо­пас­но­сти в ми­ре нет – это спра­вед­ли­во и для ре­аль­но­го, и для циф­ро­во­го ми­ра. Ин­фор­ма­ция из данной ста­тьи лишь дает вам от­но­си­тель­но боль­шую сте­пень за­щи­ты. Безо­пас­ность – всегда ба­лан­с ме­ж­ду удоб­ст­вом и уяз­ви­мо­стью, и вы­бор, ка­кая из этих кон­ку­ри­рую­щих сто­рон важнее – лич­ное де­ло ка­ж­до­го. Здесь лишь в об­щих чер­тах за­тро­нуты ас­пек­ты се­те­вой безо­пас­но­сти, ко­то­рая яв­ля­ет­ся крайне слож­ной те­мой и толь­ко ча­стью ком­пь­ю­тер­ной безо­пас­но­сти. Ес­ли вы счи­тае­те, что рис­куе­те под­верг­нуть­ся на­прав­лен­ной ата­ке, на­сто­я­тель­но ре­ко­мен­ду­ем об­ра­тить­­ся к спе­ци­а­листам по безо­пас­но­сти и тес­ти­ро­ва­нию рис­ков втор­жения. Они помо­гут ук­ре­пить ва­шу за­щи­ту, ог­ра­див вас от зло­умыш­ленников. }}
 
Ес­ли вы ра­бо­тае­те в web-при­ло­жении, вы про­сто обя­за­ны осоз­на­вать все рис­ки. Уяз­ви­мо­сти мо­гут зай­ти даль­ше са­мо­го при­ло­жения, по­сколь­ку ата­кую­ще­му, воз­мож­но, уда­ст­ся за­хва­тить кон­троль над сер­ве­ром. Ес­ли вы ис­поль­зуе­те го­то­вое ПО (ти­па WordPress), непло­хо за­помнить та­кое пра­ви­ло: чем про­ще и стан­дартнее ПО, тем лег­че быть в кур­се дел и по­сто­ян­но под­дер­жи­вать об­нов­ления. Всегда про­ве­ряй­те, что­бы у вас бы­ла са­мая по­след­няя вер­сия всех про­грамм.
 
Ес­ли вы ра­бо­тае­те в web-при­ло­жении, вы про­сто обя­за­ны осоз­на­вать все рис­ки. Уяз­ви­мо­сти мо­гут зай­ти даль­ше са­мо­го при­ло­жения, по­сколь­ку ата­кую­ще­му, воз­мож­но, уда­ст­ся за­хва­тить кон­троль над сер­ве­ром. Ес­ли вы ис­поль­зуе­те го­то­вое ПО (ти­па WordPress), непло­хо за­помнить та­кое пра­ви­ло: чем про­ще и стан­дартнее ПО, тем лег­че быть в кур­се дел и по­сто­ян­но под­дер­жи­вать об­нов­ления. Всегда про­ве­ряй­те, что­бы у вас бы­ла са­мая по­след­няя вер­сия всех про­грамм.
{{Врезка|right|Ширина=30%|Заголовок= |Содержание=Уровни за­щи­ты
 
  
Аб­со­лют­ной безо­пас­но­сти в ми­ре нет – это спра­вед­ли­во и для ре­аль­но­го, и для циф­ро­во­го ми­ра. Ин­фор­ма­ция из данной ста­тьи лишь дает вам от­но­си­тель­но боль­шую сте­пень за­щи­ты. Безо­пас­ность – всегда ба­лан­с ме­ж­ду удоб­ст­вом и уяз­ви­мо­стью, и вы­бор, ка­кая из этих кон­ку­ри­рую­щих сто­рон важнее – лич­ное де­ло ка­ж­до­го. Здесь лишь в об­щих чер­тах за­тро­нуты ас­пек­ты се­те­вой безо­пас­но­сти, ко­то­рая яв­ля­ет­ся крайне слож­ной те­мой и толь­ко ча­стью ком­пь­ю­тер­ной безо­пас­но­сти. Ес­ли вы счи­тае­те, что рис­куе­те под­верг­нуть­ся на­прав­лен­ной ата­ке, на­сто­я­тель­но ре­ко­мен­ду­ем об­ра­тить­­ся к спе­ци­а­листам по безо­пас­но­сти и тес­ти­ро­ва­нию рис­ков втор­жения. Они помо­гут ук­ре­пить ва­шу за­щи­ту, ог­ра­див вас от зло­умыш­ленников. }}
 
 
Intrusion Detection Systems [Сис­те­ма Об­на­ру­жения Втор­жения] и Intrusion Prevention Systems [Сис­те­мы Пре­дот­вра­щения Втор­жения] (IDSs и IPSs) по­мо­га­ют снизить ущерб, при­чи­няе­мый ата­кую­щим, од­на­ко не сто­ит счи­тать их эта­ки­ми се­реб­ря­ны­ми пу­ля­ми, спо­соб­ны­ми раз­ре­шить все ва­ши про­бле­мы с безо­пас­но­стью. И не менее важ­но, что­бы у вас бы­ли уста­нов­ле­ны и долж­ным об­ра­зом на­строе­ны SELinux или AppArmour.
 
Intrusion Detection Systems [Сис­те­ма Об­на­ру­жения Втор­жения] и Intrusion Prevention Systems [Сис­те­мы Пре­дот­вра­щения Втор­жения] (IDSs и IPSs) по­мо­га­ют снизить ущерб, при­чи­няе­мый ата­кую­щим, од­на­ко не сто­ит счи­тать их эта­ки­ми се­реб­ря­ны­ми пу­ля­ми, спо­соб­ны­ми раз­ре­шить все ва­ши про­бле­мы с безо­пас­но­стью. И не менее важ­но, что­бы у вас бы­ли уста­нов­ле­ны и долж­ным об­ра­зом на­строе­ны SELinux или AppArmour.
  
 
Ес­ли вы ис­поль­зуе­те спе­циа­ли­зи­ро­ван­ное web-при­ло­жение, вы долж­ны быть уве­ре­ны, что вам зна­ко­мы раз­ные тех­но­ло­гии, ис­поль­зуе­мые ата­кую­щи­ми. От­лич­ный стар­то­вый пункт – сайт OWASP (Open Source Web Applications Security Project – Про­ект безо­пас­но­сти web-при­ло­жений с от­кры­тым ко­дом), https://www.owasp.org. Ес­ли на ва­шем сай­те хра­нят­ся важ­ные дан­ные, сто­ит по­со­ве­то­вать­ся со спе­циа­ли­стом по по­во­ду обес­пе­чения безо­пас­но­сти их хранения.
 
Ес­ли вы ис­поль­зуе­те спе­циа­ли­зи­ро­ван­ное web-при­ло­жение, вы долж­ны быть уве­ре­ны, что вам зна­ко­мы раз­ные тех­но­ло­гии, ис­поль­зуе­мые ата­кую­щи­ми. От­лич­ный стар­то­вый пункт – сайт OWASP (Open Source Web Applications Security Project – Про­ект безо­пас­но­сти web-при­ло­жений с от­кры­тым ко­дом), https://www.owasp.org. Ес­ли на ва­шем сай­те хра­нят­ся важ­ные дан­ные, сто­ит по­со­ве­то­вать­ся со спе­циа­ли­стом по по­во­ду обес­пе­чения безо­пас­но­сти их хранения.

Версия 12:09, 15 ноября 2018

Содержание

ВЗЛОМ СЕТИ

Во­ров­ст­во па­ро­лей >>, Взлом WordPress >> Экс­плуа­та­ция уяз­ви­мо­стей » Ата­ки DDoS.

При­сое­ди­ним­ся к Бе­ну Эве­рар­ду в его пу­те­ше­ст­вии на тем­ную сто­ро­ну*.

Ис­кусст­во мани­пулиро­вать чужим ком­пьютером, что­бы де­лать все что угод­но без раз­ре­шения... одни на­зы­ва­ют его ха­кер­ст­вом, д­ругие — взло­мом или тес­ти­ро­ванием воз­мож­но­сти проник­но­вения в сис­те­му. Пра­ви­тель­ст­ва, бизнес­ме­ны, дис­си­ден­ты, ску­чаю­щие ком­пь­ю­тер­ные про­фес­сио­на­лы и пре­ступники ата­ку­ют друг дру­га — и обыч­ных поль­зо­ва­те­лей — еже­днев­но.

Ха­кер­ст­во бы­ва­ет раз­ное, но мы рас­смот­рим здесь се­те­вые ата­ки, по­сколь­ку имен­но они боль­ше все­го за­тра­ги­ва­ют обыч­ных лю­дей. Не­ко­то­рые из этих атак, на­при­мер, мсти­тель­ные ата­ки груп­пы Anonymous, ста­но­ви­лись ши­ро­ко из­вест­ны, по­сколь­ку пе­ре­во­ди­ли сай­ты в ре­жим оф­флайн или до­бав­ля­ли граф­фи­ти на глав­ные страницы сай­тов. О дру­гих со­об­ща­ют очень ред­ко, хо­тя они про­ис­хо­дят что ни день, при­но­ся пре­ступникам со­лид­ные сум­мы.

Ес­ли у вас есть сайт, вы, без со­мнения, на­блю­да­ли мно­же­ст­во по­пы­ток ата­ки по за­пи­сям в сво­ем жур­на­ле. Бу­ду­чи поль­зо­ва­те­лем, вы, ско­рее все­го, на­блю­да­ли ре­зуль­та­ты этих атак в ви­де спа­ма (помните эти зав­ле­ка­тель­ные ссыл­ки?); а мо­жет, вам силь­но не по­вез­ло, и вы ли­ши­лись некой лич­ной ин­фор­ма­ции, когда был ата­ко­ван сер­вер.

В лю­бом слу­чае, мы все жи­вем в тес­но связан­ном ми­ре, в ко­то­ром все боль­ше и боль­ше на­ших цен­но­стей хра­нят­ся в циф­ро­вых хранили­щах, а не в фи­зи­че­­ских сей­фах. Ос­та­ет­ся или про­сто устроиться по­удобнее и ждать, когда пра­ви­тель­ст­во и про­вай­де­ры нас за­щи­тят, или са­мим осоз­нать все воз­мож­ные уг­ро­зы и за­нять­ся са­мо­за­щи­той.

Мы по­ка­жем вам не­ко­то­рые ха­кер­ские ин­ст­ру­мен­ты из­нут­ри, по­то­му что за­щи­тить се­бя мож­но, толь­ко разобравшись, от че­го за­щи­щаешь­ся.

Мы рас­смот­рим че­ты­ре раз­ных ти­па атак – от­каз в об­слу­жи­вании (DDoS), «по­сре­дник [man-in-the-middle]», меж­сай­то­вый скрип­тинг и ата­ки внедрения – и по­ка­жем, как имен­но их ис­поль­зу­ют пре­ступники в на­ше вре­мя и что на­до сде­лать, что­бы вы са­ми или ваш сайт не па­ли их жерт­ва­ми.

*Пра­во­вое обосно­вание

В раз­ных стра­нах за­ко­ны о ха­кер­ст­ве раз­ные, и мы не мо­жем дать кон­крет­ных юри­ди­че­­ских со­ве­тов. Но бу­дет обосно­ван­но зая­вить, что при­менение лю­бой из опи­сы­вае­мых здесь тех­но­ло­гий к сай­ту без раз­ре­шения от его вла­дель­ца на та­ко­вое во мно­гих стра­нах яв­ля­ет­ся неза­кон­ным.

Ес­ли вы ра­бо­тае­те в ком­пании или в ор­ганиза­ции, у вас долж­но быть пись­мен­ное раз­ре­шение от со­от­вет­ст­вую­щих долж­но­ст­ных лиц на про­ве­дение ука­зан­ных ме­ро­прия­тий. Так вы за­страхуе­те се­бя от воз­мож­ных про­блем при недо­понимании про­ис­хо­дя­ще­го.

«Мы по­ка­жем вам ха­кер­ские ин­ст­ру­мен­ты из­нут­ри.»

СЕ­ТИ

Взлом WordPress

Ата­ка на web-при­ло­жение.

По ме­ре роста мо­щи HTML5 и ско­ро­сти JavaScript, web-при­ло­жения рас­про­стра­ня­ют­ся все ши­ре. Ubuntu и неко­то­рые дру­гие ди­ст­ри­бу­ти­вы об­ра­ща­ют­ся с ними, как с при­ло­жения­ми пер­вого ряда, а Mozilla соз­да­ет смарт­фон, строя­щий все свои функ­ции имен­но на них. Од­на­ко вме­сте с ними на пе­редний план вы­хо­дят уяз­ви­мо­сти, ко­то­рых рань­ше не бы­ло.

Мы рас­смот­рим данную об­ласть, ис­поль­зуя в ка­че­­ст­ве при­ме­ра WordPress – не по­то­му, что это пло­хое при­ло­жение, а по­то­му, что его по­пу­ляр­ность и спо­соб­ность к рас­ши­рению сде­ла­ли его ми­ше­нью для атак. Ни од­на из опи­сы­вае­мых здесь атак не уникаль­на для этой плат­фор­мы, и они ха­рак­тер­ны для мно­гих web-при­ло­жений, вне за­ви­си­мо­сти от то­го, построены ли они на CMS.

По­сколь­ку мы пред­по­чи­та­ем по­ка­зать, как ра­бо­та­ет ата­ка, а не по­яс­нять ее, мы соз­да­ли вир­ту­аль­ную ма­ши­ну (ВМ), на ко­то­рой ра­бо­та­ет уяз­ви­мая вер­сия WordPress. Она име­ет­ся на дис­ке, и ее мож­но ска­чать с www.linuxformat.com/content/downloads.

Об­за­ве­дясь ею, сле­дуй­те ниже­при­ве­ден­но­му по­ша­го­во­му ру­ко­во­дству по уста­нов­ке. Вам по­на­до­бит­ся VirtualBox; в осталь­ном она ра­бо­та­ет поч­ти на лю­бом ди­ст­ри­бу­ти­ве. Мы ис­поль­зо­ва­ли фор­мат бло­гов в WordPress, что­бы по­ка­зать, как ее взло­мать, так что за­пускай­те ее и при­сту­пай­те.

Как толь­ко вы об­на­ру­жи­те ата­ку, блог так­же со­об­щит вам в под­роб­но­стях, как за­щи­тить­ся, что­бы про­ве­рить, уда­ст­ся ли за­де­лать ды­ры в сис­теме безо­пас­но­сти, пре­ж­де чем дви­гать­ся даль­ше.

За­щи­ти­те се­бя

Ес­ли вы ра­бо­тае­те в web-при­ло­жении, вы про­сто обя­за­ны осоз­на­вать все рис­ки. Уяз­ви­мо­сти мо­гут зай­ти даль­ше са­мо­го при­ло­жения, по­сколь­ку ата­кую­ще­му, воз­мож­но, уда­ст­ся за­хва­тить кон­троль над сер­ве­ром. Ес­ли вы ис­поль­зуе­те го­то­вое ПО (ти­па WordPress), непло­хо за­помнить та­кое пра­ви­ло: чем про­ще и стан­дартнее ПО, тем лег­че быть в кур­се дел и по­сто­ян­но под­дер­жи­вать об­нов­ления. Всегда про­ве­ряй­те, что­бы у вас бы­ла са­мая по­след­няя вер­сия всех про­грамм.

Intrusion Detection Systems [Сис­те­ма Об­на­ру­жения Втор­жения] и Intrusion Prevention Systems [Сис­те­мы Пре­дот­вра­щения Втор­жения] (IDSs и IPSs) по­мо­га­ют снизить ущерб, при­чи­няе­мый ата­кую­щим, од­на­ко не сто­ит счи­тать их эта­ки­ми се­реб­ря­ны­ми пу­ля­ми, спо­соб­ны­ми раз­ре­шить все ва­ши про­бле­мы с безо­пас­но­стью. И не менее важ­но, что­бы у вас бы­ли уста­нов­ле­ны и долж­ным об­ра­зом на­строе­ны SELinux или AppArmour.

Ес­ли вы ис­поль­зуе­те спе­циа­ли­зи­ро­ван­ное web-при­ло­жение, вы долж­ны быть уве­ре­ны, что вам зна­ко­мы раз­ные тех­но­ло­гии, ис­поль­зуе­мые ата­кую­щи­ми. От­лич­ный стар­то­вый пункт – сайт OWASP (Open Source Web Applications Security Project – Про­ект безо­пас­но­сти web-при­ло­жений с от­кры­тым ко­дом), https://www.owasp.org. Ес­ли на ва­шем сай­те хра­нят­ся важ­ные дан­ные, сто­ит по­со­ве­то­вать­ся со спе­циа­ли­стом по по­во­ду обес­пе­чения безо­пас­но­сти их хранения.

Персональные инструменты
купить
подписаться
Яндекс.Метрика