Eszközök és módszertan script kiddie
Eszközök és módszertan Script Kiddie
A parancsnokom megtanította nekem, hogy ha meg akarom védeni az ellenségtől, először meg kell tudnom, hogy mi az. Ez a katonai doktrína ugyanúgy alkalmazható a hálózati biztonság világára. Csakúgy, mint a hadsereg, egyes erõforrások védelmét próbáljuk megszervezni. Ahhoz, hogy sikeresen megbirkózzon ezzel a feladattal, pontosan tudnia kell, hogy ki fenyeget, és hogyan fog támadni. Ebben a cikkben, az első a sorozatban, csak tárgyalja az egyik leggyakoribb fenyegetésforrás eszközeit és módszertanát - Script Kiddie. Ha Ön vagy a szervezet az internethez kapcsolódó erőforrásokkal rendelkezik, ez a fenyegetés közvetlenül érinti Önt.
Ki kicsoda Script Kiddie?
Script kiddie - könnyű préda keresők. Nem próbálnak hozzáférni semmilyen konkrét információhoz, vagy támadni egy adott cégnél. Céljuk, hogy a gyökér jogokat a lehető legegyszerűbb módon kapjuk meg. Ezt úgy érik el, hogy kevés sérülékenységet választanak, majd keresik az internetet. Előbb vagy utóbb sebezhető rendszert találnak.
Néhányan olyan fejlett felhasználók, akik saját eszközeiket fejlesztik, és elég okos kiskapukat hagynak. Más fogalmak nem rendelkeznek azzal, amit csinálnak, és csak tudják, hogyan írják be a "go" parancsot. A fejlesztés szintjétől függetlenül ugyanazt a stratégiát alkalmazzák: megtalálni egy olyan rendszert, amelynek egy adott sérülékenysége van, és kihasználni ezt a sebezhetőséget a behatoláshoz.
A célválasztás véletlenszerűsége teszi a script-kiddit ilyen veszélyes fenyegetéssé. Előbb vagy utóbb a rendszereket és a hálózatokat vizsgálják. Ezt nem lehet elkerülni. Ismerem a rendszergazdákat, akiket nagyon meglepett a rendszerük szkennelésének ténye, amit senki más nem tudott csak két nappal ezelőtt voltak az interneten. Itt semmi meglepő. Legvalószínűbb, hogy rendszereik szkennelt script-kiddie-k voltak, amelyek csak "megszaggatták" a hálózat ezen részét.
Ha az ügy a szkennelés több különálló tényére korlátozódik - a valószínűségi elmélet törvényei az Ön oldalán állnának. A rendszered valószínűleg nem lett volna megtalálható az interneten több millió más rendszer között. Ez azonban egyáltalán nem így van. A legtöbb szkennelési eszköz könnyen használható és széles körben elterjedt, szinte bárki használhatja őket. Az alapokat használók száma riasztó ütemben növekszik. Mivel az internet nem ismeri a földrajzi határokat, ez a fenyegetés gyorsan elterjedt az egész világon, és a nagy számok törvénye hirtelen ellenünk fordult. Az ilyen felhasználók által használt ilyen hatalmas számú internethasználóval már nem kérdőjelezik meg a szkennelés tényét, az egyetlen kérdés, hogy mikor érkezik a rendszer.
Mindez egy jó példa, amely biztonságot eredményezhet a fenyegetés figyelmen kívül hagyásával (biztonság a homályosság révén). Nagyon hiszed, hogy senki nem ismeri a rendszered létezését. Mások úgy vélik, hogy rendszereik nem tartalmaznak semmi érdekeset, miért keresné valaki őket? De a szkriptvessző egy másik elvre törekszik - egy olyan védelem nélküli rendszerre van szükségük, amely könnyű prédává válik.
módszertan
Meg lehet vitatni, hogy ezek a beolvasások túlságosan "zajosak" és vonzzák a figyelmet. Azonban sok rendszergazda nem figyeli a rendszerüket, és még azt sem feltételezi, hogy beolvasásra kerülnek. Ezenkívül számos szúráscsík találja meg a sérülékeny rendszert, amelyet azután használnak ugródeszkaként további lépésekre. Most az egész internetet beolvashatják, anélkül, hogy félni fogják a megtorlást. Ha tevékenységüket észlelik, akkor minden igényt a használt rendszer rendszergazdájára, és nem a fekete kalapra kell tenni.
A fejlettebb fekete kalapok a rendszerbe való belépés után hagyják el a trójai programokat és a fekete bejelentkezést, ami lehetővé teszi, hogy gyorsan és észrevétlenül belépjen a rendszerbe, ha szükséges. A trójai programok lehetővé teszik, hogy az betolakodó észrevétlen maradjon. A jelenlétét nem tükrözi a rendszer naplófájljai, a futó folyamatok listája és a fájlrendszer. Kényelmes és biztonságos menedéket kínál, ahonnan nyíltan átvizsgálhatja az internetet. További információt a "Gyökér jogokat kapnak" c.
Mindezek a tevékenységek nem korlátozódnak egy bizonyos időre. Sok rendszergazda csak a rendszer naplóinak naplóját ellenőrzi a támadások jelei miatt, úgy vélve, hogy csak ebben az időben fordulhatnak elő. A Script gyerekek bármikor cselekszenek. Mivel napi 24 órát szkennelnek le, általában nem tudhatja, mikor fog történni. Ráadásul ezek a támadások a világ bármely pontjáról származhatnak. Mivel az internet nem ismeri a földrajzi határokat, a napszak fogalma nagyon elmosódott. Ott, ahol fekete kalap van, lehet egy mély éjszaka, és rád - a napközben.
A biztonsági rés rendszerek kutatási módszertan felhasználható többféle célra. Nemrégiben új típusú támadások, mint a "szolgáltatás megtagadása" (Denial of Service - DoS), az úgynevezett DDoS (Distributed Denial of Service támadások - elosztott szolgáltatásmegtagadási támadás). Ezek a támadások által végzett egyetlen felhasználó szabályozására több száz, ha nem több ezer sérült rendszerek világszerte, amelyek távolról összehangolt lefolytatására DDoS-támadások áldozatává vagy csoport az áldozatok. Mivel jár egy nagyszámú rendszer, rendkívül nehéz ellenállni az ilyen támadásokat, és az ő forrását. Átveheti az irányítást egy ilyen nagy számú rendszereket is alkalmaznak taktikát script gyerekpornó. Sérülékeny rendszereket véletlenszerűen kiválasztott, és később felhasználható kiindulási helyeket DDoS-támadás. Minél több rendszerek megfékezni, az erősebb DDoS-támadás hajtható végre. Egy példa egy ilyen támadás „Stacheldraht”. Akkor többet elosztott szolgáltatásmegtagadási támadások, és megvédi őket a helyén Paul Ferguson (Paul Ferguson) Denialinfo
munkapad
Hogyan védekezhetsz ebből a fenyegetésből?
Az alábbi tippek segítenek megvédeni magát ettől a fenyegetéstől. Először is, ne felejtsd el, hogy a szkriptkori gyerekek könnyű prédát keresnek az ismert sebezhetőségekkel. Győződjön meg arról, hogy a rendszerekben és hálózatokban nincsenek ezek a biztonsági rések. Kiváló információforrások ezen a témakörön a www.cert.org és a www.ciac.org. Szintén nagyon jó forrás a bugtraq levelezőlistája (az archívumok a securityfocus.com oldalon vannak). A védelem másik módja az, hogy csak nagyon szükséges szolgáltatásokat futtasson a rendszerben. Ha nincs szüksége egy adott szolgáltatásra - ne futtassa le. Ha szüksége van rá, győződjön meg arról, hogy a szoftver legfrissebb verzióját használja. Példák a biztonságos rendszerek beállítására az "Armoring Solaris" munkákban találhatók. "Armoring Linux" és "Armoring NT".
következtetés
A Script kiddie minden rendszert fenyeget. Nincsenek semmilyen preferenciájuk, minden rendszert egymás után vizsgálnak, függetlenül a helytől és a jelentőségtől. Előbb vagy utóbb ellenőrizni fogja a rendszerét. Értékeik és módszereik megértésével jobban megvédheti rendszereit ebből a fenyegetésből.