Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак
Окончание
Уязвимые места и их использование
A.O.H.P.
Chaostic exploits
Infilsec Systems Security vulnerability database
Rootshell
Security Bugware
Security Focus
Shadow Penguin Security
System Security exploits
X-Force vulnerability database
Защита в Интернете и безопасность приложений
ActiveX — Conceptual Failure of Security
CERT’s metacharacter removal recommendations
CGI Security
Designing Security Software от Peter Galvin
Java Security Hotlist Categories
Java Security: FAQ
Java versus ActiveX
Malicious ActiveX
Michael Van Biesbrouck’s CGI security tutorial
Netscape’s SSL 3.0 specification
Netscape’s SSL Tech Briefs
Simson Garfinkel Tech article on the ActiveX threat
SSL FAQ
Sun’s Applet Security: FAQ
W3C Security FAQ
Базы данных о найденных уязвимостях и атаках
| Аббревиатура/URL |
Расшифровка |
| CERT/CC |
Computer Emergency Response Team |
| CERT Russia |
|
| CIAC |
Computer Incident Advisory Capability |
| FIRST |
Forum of Incident Response and Security Teams |
| X-FORCE |
ISS X-force Threat and Vulnerability Database |
| MITRE CVE |
ISS X-force Threat and Vulnerability Database |
| All.Net |
The All.Net Security Database |
| AdvICE |
компания Network Security Wizards |
| Security Bugware |
|
| Insecure.org |
|
| NASIRC |
NASA Automated Systems Incident Response Capability |
| COAST |
Computer Operations Audit and Security Technology |
| FedCIRC |
Federal Computer Incident Response Capability |
| ASSIST |
Automated Systems Security Incident Support Team |
| ICAT |
Internet Categorization of Attacks Toolkit |
| IDLE |
Intrusion Data Library Enterprise |
| ОС: |
|
| Novell |
|
| Microsoft |
|
| Россия: |
|
| hackzone.ru |
|
| void.ru |
|
Программы, предназначенные для реализации атак
Наиболее популярные современные утилиты для проведения сетевых атак. В список попали как инструменты защиты, так и хакерские программы, а также сайты, содержащие средства и информацию по этой теме. Не отмечены утилиты, входящие в стандартный комплект операционных систем (их можно найти в Windows NT Resource Kit или в Supplement II).
Адреса для приобретения различных утилит
eSecurityonline
Hackersclub
NewOrder
SANS tools
Security Focus
Technotronic
Отказ в обслуживании
Land and
Latierra
Netcat
(by Hobbit) универсальный сканер сетевых портов с большим набором различных операций
Portfuck
Smurf &
Fraggle
Synk4
Teardrop,
newtear,
bonk,
syndrop
Утилиты создания перечня
Bindery
Bindin
Epdump
Finger
Legion
NDSsnoop
NetBIOS Auditing Tool (NAT)
Netcat от Hobbit
Netviewx
Nslist
On-Site Admin
просмотр серверов Novell, ветвей каталога
Snlist
Somarsoft (dumpacl, dumpreg и т. д.)
user2sid и sid2user
Userdump
Userinfo
Средства рекогносцировки
ARIN database
Cyberarmy
Dogpile (метапоисковая система)
DomTools (axfr)
FerretSoft
Sam Spade
Securities and Exchange Commission (SEC)
USENET Searching
Visual Route
WHOIS database
WS_Ping ProPack
Подбор паролей
John the Ripper
Win&Unix системы, словарный поиск
L0phtCrack
подбор паролей, система Windows
LC3
новая версия повсеместно любимого L0phtcrack
NTcrack 5.0
«Ломалка NT-паролей»
Password Recovery
(Elcom) достаточно большое количество утилит, которые взламывают пароли к архивам ARJ, RAR, ZIP и документам Microsoft Office различных версий
Доступ в систему
Readsmb от L0phtcrack
Legion
вывод доступных разделяемых ресурсов в графическом виде
NetBIOS Auditing Tool (NAT)
(by Andrew Tridgell) обнаруживает и пытается войти в разделяемые ресурсы, применяя задаваемые пользователем списки имен и паролей
Nwpcrack
SMBGrind от NAJ
Включена в состав CyberCop Scanner от NAI (www.nai.com)
SMBScanner
Сканирует заданный диапазон ip на наличие расшаренных ресурсов. Имеет возможность подборки пароля
Sniffit
SNMPsniff
THC login/telnet
Средства вторжения и создания «черных ходов»
Back Orifice
черный ход и управление системами Windows
Elitewrap
Getadmin
программа для получения несанкционированного доступа к компьютеру, на котором она запущена (локальное проникновение)
Hunt
Imp
Invisible Keystroke Logger
Jcmd
John the Ripper
Win&Unix системы, словарный поиск
NetBus
программа, позволяющая организовать удаленное управление компьютером через сеть
Netcat
NTFSDOS
NTuser
Pandora от NMRC
Pwdump2
Revelation oт Snadboy
Sechole
SNMPsniff
Unhide
Virtual Network Computing (VNC)
(AT&T Laboratories) удаленное управление с графическим интерфейсом
Сканеры служб Windows
Epdump
(Microsoft) показывает службы, связанные с IP и номерами портов
Getmac
из NTRK, выводит mac-адреса сетевых адаптеров удаленных компьютеров
Netdom
из NTRK, информация о подключенных доменах NT
netviewx
(by Jesper Luaritsen) мощное средство получения списка узлов домена и работающих в нем служб
Pandora
полностью автоматический сканер расшаренных ресурсов, осуществляющий самостоятельное копирование файлов. Может работать в скрытом режиме, а также самостоятельно добавлять себя в автозапуск
Xsharez
сканирует порты на расшаренные ресурсы и подключает их. В данной версии возможна совместная работа с подборщикам паролей, если таковые требуются при попытке подключить сетевой диск
EssentialNetTools
сканер на наличие расшаренных ресурсов. Однако включает в себя также еще несколько возможностей, не существующих в SMBscanner или Xsharez
sechole
из NTRK добавляет текущего пользователя в группу администраторов
rcmd & rcmdsvc
из NTRK удаленный запуск приложений
NetManager
(Дмитрий Кривов) аналог BackOrifice для Windows, но на русском языке и с простым интерфейсом
Программы удаленного управления компьютерной системой
Remote Administrator
Citrix ICA
PcAnywhere
ReachOut
Remotely Anywhere
Remotely Possible/ControllT
Timbuktu
VNC
Кража информации
File Wrangler
PowerDesk
Revelation от SnadBoy
Захват root и заметание следов
Cygwin Win32 cp и touch
Wipe
Zap
Сканирование
BindView
Cgi-founder
Предназначена для облегчения поиска известных CGI-уязвимостей. Файл cgi-exp.dat содержит 53 exploit’а, можно добавлять свои. В архиве есть инструкция на русском языке
Cheops
утилита с графическим интерфейсом, универсальный мощный инструмент картографирования сети
Chknull
CyberCop Scanner от NAI
система анализа защищенности, может быть использована для сканирования сети
Firewalk от Mike Schiffman
Fping
Fremont
HackerShield от BindView
Hping
InspectorScan от Shavlik
Internet Scanner от ISS
обнаруживает более 900 различных уязвимостей
InterNetView
Программа сканирования сети. Работает под Windows 95/98/NT
ipEye
stealth-сканер, конкурент Nmap
Kane Security Analyst
Lan Auditor
Network Mapper (nmap) от Fyodor
NTInfoScan
удаленное идентифицирование ОС и открытых портов
Pinger
PortPro и Portscan
самые быстрые сканеры дляWindows NT
QueSO
RuNmap
The Russian Network Mapper
Saint
Программа-«убийца» средств защиты сети, основанная на небезызвестном сканере SATAN
SATAN
(Security Administrator Tool for Analyzing Networks) сканирование сетевых портов. Поиск уязвимостей в сети, которые могут быть использованы для реализации атак
ShadowSecurityScanner
Solarwinds
Strobe
(by Julian Assange) один из самых быстрых и надежных сканеров
TCP/IP
Tkined
(утилита из пакета Scotty) сетевой редактор, позволяющий исследовать сети IP
Udp scan
(by Dan Farmer & Wietse Venema in 1995) производная от SATAN, наиболее надежный UDP-сканер, правда, легко обнаруживаемый
WebTrends Security Analyzer от WebTrends
Whisker
сканирование веб-серверов, выявление уязвимых CGI-сценариев
WS_Ping ProPack
Сетевые перехватчики (сыщики)
Sniffer
Анализатор сетевых протоколов. Прослушивание сетевого трафика. Автоматический поиск интересующей информации в пакетах, передающихся в сети
DSniff
мощная утилита для перехвата паролей и другой информации, передаваемой в сети
Ethereal
обычный «сниффер» для UNIX-систем с отличным, надо сказать, графическим интерфейсом
FireWalk
(Mike Schiffman) в режиме сканирования портов выявляет открытые порты за брандмауэром
Hping
(Salvatore Sanfilippo) сканирование сквозь брандмауэры. Анализ ответов TCP
Linsniff
(Mike Edulla) Сыщик паролей Linux
Sniffit
(Brecht Claerhout) простой сыщик пакетов для Linux, SunOS, Solaris, FreeBSD, Irix
Solsniff
(Michael R. Widner) сыщик, модифицированный под Sun Solaris 2.x
Tcdump
(группа авторов) классический анализатор пакетов, реализован для различных платформ
TCP Logger
(Михаил Калинский) Предназначен для исследований протоколов, работающих на основе протокола TCP (http, pop3, smtp и т. д.), а также для исследований серверов, сервисов, скриптов и т. д. Для Windows
Утилиты боевого прозвона
PhoneSweep от Sandstorm
(Sandstorm Enterprises) Windows, обладает графическим интерфейсом
THC-Scan
(van Vauser THC) предоставляет более широкие возможности (DOS)
ToneLoc
(Minor Threat & Mucho Maas) ОС: DOS, перебор номеров телефонов в поиске модемов
Средства осуществления распределенных атак в основном типа «отказ в обслуживании»
http//www.cert.org/reports/dsit_workshop.pdf
http//www.cert.org/advisories/CA-99-17-denial-of-service-tools.html
http//packetstorm.security.com/distributed/
http//staff.washington.edu/dittrich/misc/ddos/
Опасные утилиты в UNIX:
finger, rwho, rusers, rpcinfo, rpcbind
Утилиты в Windows NT:
net view — позволяет получить список доступных в сети доменов
nltest из NTRK (NT Resource Kit) — перечень контроллеров домена NT
Программы, предназначенные для отражения атак
Средства защиты
Black Ice от Network Ice
CyberCop Monitor от Network Associates
Hidden Object Locator
Ippl
ITA oт AXENT
Kane Security Monitor
Netguard
Network Flight Recorder
Protolog
Psionic Porlsentry из проекта Abacus
RealSecure jn Internet Security Systems (ISS)
Scanlogd
Secured oт Memco
Secure Shell (SSH)
Session Wall-3 от Abir net/Platinum
Technology
IDS-системы обнаружения атак
AID Adaptive Intrusion Detection system
(Brandenburg University of Technology, Германия)
клиент—серверная архитектура, предназначена для обнаружения подозрительной активности в локальных сетях
AUBAD Automated User Behavior Anomaly Detection
system
(Австралия) обнаружение атак с использованием нейросетей
GASSATA Genetic Algorithm for Simplified Security Audit
Trail Analisys
(Ренский университет, Франция) анализ событий, получаемых из журнала регистрации ОС AIX, используется генетический алгоритм
EMERALD
(SRI) Event Monitoring Enabling Responses to Anomalous Live Disturbances ориентирована на работу в крупных, распределенных сетях
Defence Wall
широкий набор утилит для борьбы с вторжениями
Nessus
одно из лучших средств проверки безопасности сети
NetSTAT
(Университет Калифорнии) система обнаружения атак в реальном режиме времени, использующая контроль состояний переходов
NIDES
(SRI) использует статистический подход, определяющий отклонения от профиля нормального поведения пользователя.
NNID Neural Network Intrusion Detector
(ISS) нейросетевой детектор атак, объединение нейросетевых технологий с системой обнаружения атак RealSecure Network Sensor
Online Scanner и Desktop Scanner
(ISS) защита пользователей, подключающихся к интернет-банку
NFR Network Flight Recorder
содержит интерпретируемый язык N-Code, ориентирован на компании малого и среднего размеров
Centrax (CyberSafe)
ETrust IDS (Computer Associates)
широкий спектр средств обнаружения атак
NetForensics.com
ориентирована на средства защиты, предоставляемые фирмой Cisco
Dragon (Enterasys Network)
набор продуктов безопасности
Примечание.
SRI — Stanford Research Institute
ISS — Internet Security Systems
Обманные системы
DTK the Deception Toolkit
В режиме реального времени
CyberCop Sting
(Network Associates)
WebStalker Pro
(TIS) обнаружение атак на уровне прикладного ПО
CyberCop Scanner & Monitor
(Network Associates)
Системы уровня ОС
System Scanner
(ISS) система анализа защищенности на уровне ОС и ПО (локально)
Intruder Alert
обнаружение атак на уровне ОС
COPS: Computerized Oracle and Password System
(by Dan Farmer) уровень ОС
GoBack 3 Deluxe
защищает компьютер от падений системы, последствий вирусных атак, некорректных инсталляций, позволяя легко вернуться к той конфигурации, в которой компьютер надежно работал
Enterprise Security Manager
(Symantec)
Server Sensor
LIDS
обнаруживает факт установки анализатора протоколов и попытки изменения правил МЭ (межсетевого экрана)
HostCentry
(Psionic) контроль деятельности пользователей в режиме реального времени
OpenWall
встраиваемый компонент в ядро Linux
Tripwire
система анализа журналов регистрации
SecretNet
система защиты информации от НСД
Системы уровня СУБД
Database Scanner
(ISS) система анализа защищенности на уровне СУБД (MS SQL Server, Sybase, Oracle)
SFProtect
SQL Secure Policy
Уровень сети
NetProwler
(Symantec) анализ на механизме сигнатур атак (ASD Attack Signature Definition)
Cisco Secure IDS
и другие программные и аппаратные продукты от Cisco
PortSentry (Psionic) анализ сетевых пакетов
Internet Scanner
(ISS) тестирование любых систем, основанных на стеке протоколов TCP/IP
NetRecon
(Symantec) дистанционный поиск уязвимостей на различных узлах корпоративной сети
Bro
(Lawrence Livermore National Laboratory) захват и фильтрация данных
Net Monitor
удобная маленькая программа, которая позволяет отслеживать все соединения, очень помогает как при диагностике сетей, так и при настройке брандмауэра
NukeNabbeer
мониторинг портов и перехват атак Nuke и прочих подобных атак, логирует время и IP-адрес нападавшего
NoBO
мониторинг порта 31337, прерывает попытки атаки ВО
NetBuster
мониторинг портов и персечение атаки NetBus’а
Jammer
помимо идентификации атаки и атакующего отправляет письмо администратору сети, из которой проводится атака
Snort
не имеет графического интерфейса, высококвалифицированному специалисту предоставляет широкий набор функций
Shadow
(Naval Surface Warfare Center) сетевой сенсор
RealSecure
(ISS) сочетает в себе все возможности вышеперечисленных программ
BlackIce
системы оперативного обнаружения и реагирования на атаки для TCP/IP-сетей
SAFEsuite Decisions
система поддержки принятия решений в области информационной безопасности. Сбор, анализ и корреляция данных от различных средств защиты, установленных в организации. Прогнозирование изменения уровня защищенности
Xspider
Очень хороший сканер безопасности. Незаменим как для админов, так и для тех, кто желает взломать какой-нибудь сервер. Выдает подозрительные на уязвимость скрипты, дыры, а также ссылку на сайт с подробным описанием найденной уязвимости и т. д.
ShadowSecurityScanner
сканер безопасности, работает чуть быстрее
Xspider’a. Содержит в себе огромное количество функций. Создает удобные отчеты в формате HTML
CLEARSWIFT:
MAILsweeper for SMTP
средство контроля внешней электронной почты, получаемой и передаваемой по протоколу SMTP
MIMEsweeper for Domino
средство контроля внутренней электронной почты, получаемой, передаваемой и обрабатываемой (в том числе и хранимой) с помощью Lotus Domino
MAILsweeper for Exchange
средство контроля внутренней электронной почты, получаемой, передаваемой и обрабатываемой (в том числе и хранимой) с помощью MS Exchange
WEBsweeper
средство контроля и разграничения доступа к Вебу, включая защиту от утечки конфиденциальных материалов через бесплатные интернет-сервисы (например, mail.ru, чаты и доски объявлений)
PORNsweeper
средство контроля передаваемых в электронной почте порнографических картинок (дополнение к MAILsweeper)
SECRETsweeper
средство контроля передаваемых в электронной почте зашифрованных сообщений, нарушающих политику безопасности компании (дополнение к MAILsweeper)
CodeRed Scanner
Сканер сетей класса B проверяющий веб-серверы MS IIS 4.0, 5.0, 6.0 (NT, 2000, XP) на наличие уязвимости
Window Washer Clean
Универсальное средство очистки системных кэшей, временных файлов, истории просмотра/запуска файлов и т. д.
Courtney от CIAC
Обнаружение сканирования портов
Check Promiscuous Mode (cpm)
Обнаружение действия сыщиков в сети университета Карнеги-Меллона для Unix
AntiSniff
Обнаружение действия сыщиков в сети только для Windows
UNIX:
Scanlogd от SolarDesigner Psionic Portsentry
Alert.sh (by Lance Spitzner)
NT:
BlackIce от Networkice
Genius 2.0 от Independent Software
способен обнаруживать IP-адрес и имя DNS атакующего
Межсетевые экраны
| Продукт |
Производитель |
Достоинства |
Недостатки |
| FireWall 1 |
Check Point Software Technologies |
Возможность создания конфигураций с несколькими брандмауэрами, простое управление. Гибкая |
Низкая производительность. Недостаточно мощные средства генерации отчетов |
| Gauntlet |
Trusted Information Systems |
Широчайший спектр посредников приложений. Хорошие возможности посредников фильтрации пакетов. Хорошие средства генерации итоговых отчетов. Внутренняя проверка ценности |
Упрощенная фильтрация пакетов. Сложное конфигурирование и управление с помощью незаконченного GUI. Слабая поддержка операционной системы BSDI |
| Black Hole |
Milkyway Networks |
Гибкий доступ к внутренними внешним службам. Хорошие средства регистрации событий и генерации отчетов. Удобный GUI |
Слабая поддержка операционной системы BSDI |
| Eagle |
Raptor Systems |
Удобный GUI. Прозрачная передача исходящих IP-пакетов. Выдача предупреждений при обнаружении нападений. Внутренняя проверка целостности |
Недостаточная гибкость в обеспечении доступа к сети извне. Наличие ошибок в посредниках приложений. Слабые средства генерации отчетов |
| FireWall/Plus |
Network-1 Software and Technology |
Широкий спектр поддерживаемых протоколов, включая не-IP. Может быть невидим для внешнего мира. Интеллектуальная фильтрация пакетов |
Средства генерации отчетов явно недостаточны и имеют ошибки, невозможна запись на локальный диск. Аварийное завершение работы GUI при высокой нагрузке |
| AltaVista FireWall |
AltaVista Internet |
Простое конфигурирование с помощью GUI. Генерация аварийных сигналов и предупреждений о нападениях в реальном времени. Широчайшая поддержка платформ. Высокая производительность. Хорошие средства регистрации и генерации отчетов |
Ограниченные возможности конфигурирования. Ограниченная поддержка типов аутентификации |
| Centri |
Global Internet |
Работает и как посредник приложений, и как фильтр пакетов. Фильтрация содержимого HTTP и URL. Интегрированный GUI. Прозрачная передача исходящих IP-пакетов |
Слабые средства генерации отчетов. Упрощенная фильтрация пакетов. Зависание GUI и Windows NT |
| PORTUS |
Livermore Software Laboratories International |
Возможность удаленного администрирования. Поддержка двойной системы имен и доменов. Средства регистрации событий. Высокая производительность. Поддержка нескольких видов аутентификации |
Сложное конфигурирование. Негибкая политика защиты |
Средства построения VNP (Virtual Private Network, виртуальные частные сети)
Особенностью сетевых решений, объединенных торговой маркой ViPNet, является то, что, с одной стороны, это — высокоэффективные средства создания и управления VPN (поддержка мобильных и удаленных пользователей в корпоративной VPN; объединение нескольких локальных сетей в одну глобальную).
С другой стороны, это — интегрированные с ними средства защиты сети в целом, ее сегментов и каждого клиента сети в отдельности (защита TCP/IP-трафика, создаваемого любыми приложениями и программами; защита рабочих станций, серверов WWW, баз данных и приложений; защищенные автопроцессинг и транзакции для финансовых и банковских приложений, платежных систем - firewall.ru).
Сканеры уязвимостей
http//securitylab.ru/tools/?ID=22391
Для получения подробной информации о существующих вредоносных программах читатели могут использовать Интернет-ресурс (AVP) — обширную энциклопедию существующих вирусов и троянских коней. Информацию о средствах борьбы с вирусоподобными программами можно найти, например, в классификаторе-поисковике Yandex. Каталог/Компьютеры и связь/Безопасность/Вирусы и антивирусы)
Юрий Мельников, Алексей Теренин
В долгах как в шелках. Рост рынка потребительского кредитования.
Правила денег от Уоррена Баффета, инвестора №1 в мире.