Используемые инструменты сложны в разработке, но очень просты в применении. Для их создания требуются глубокие познания в области программирования низкого уровня, например знание языка ассемблера и внутренних процессов операционных систем и разработки приложений. Лишь небольшой процент взломщиков владеет такой информацией. Разработка инструментов/техники взлома не относится к прерогативе взломщиков; во многие корпоративные продукты вносятся изменения, после чего они используются в корыстных целях. Однако инструменты разрабатываются или изменяются таким способом, чтобы любой желающий мог ими воспользоваться, имея смутное (или не имея вообще) представление о принципе их работы. В результате все большее число «плохих парней» получает доступ к мощным инструментам, которые сложны для разработки, но необычайно просты в использовании. Большинство инструментов предназначается только для одной задачи с малым количеством опций, частично потому, что запрограммировать и использовать простые функции легче и быстрее. Однако функциональные возможности некоторых инструментов начинают возрастать, так что вместо того, чтобы запускать пять программ ради выполнения одной задачи, можно запустить только одну.
Сначала стоит сказать об инструментах, используемых при создании базы данных IP-адресов. Эти инструменты действуют случайным образом, так как сканируют все системы в Internet. Например, многие инструменты имеют только одну опцию: А, В или С. Выбранная буква обозначает размер области сети, которая будет просканирована. Затем эти инструменты случайным образом выбирают, какую область IP-адресов сканировать. Другие инструменты пользуются именем домена (великолепным примером является zOne) и создают базу данных IP-адресов путем проведения обмена зоны доменного имени и всех поддоменов. Взломщики создали базы данных, содержащие более 2 миллионов IP-адресов, путем сканирования целого домена .com или .edu. После обнаружения эти адреса сканируются при помощи специальных инструментов с целью определения уязвимых мест, таких как версия операционной системы или запускаемые в системе сервисы. Зачастую эти инструменты сначала ищут определенный сервис, а затем определяют его версию. После того как уязвимые системы будут определены, взломщик нанесет удар.
Для автоматизации всего этого процесса также были разработаны особые инструменты; Этапы сканирования, определения и нападения на системы встроены в один пакет программ. После запуска эти автоматизированные инструменты часами выполняют задания взломщиков.
Например, одна наша honeypot с системой UNIX была взломана через грс. statd, затем злоумышленники попытались воспользоваться ей как платформой для сканирования и взлома других систем в Internet. С этой целью они выбрали automoter- инструмент, автоматически выполняющий весь процесс путем последовательного сканирования, зондирования и взлома тысячи систем. Этот инструмент даже автоматизировал процесс загрузки и инсталляции rootk.it, обеспечивая принадлежность к взломанной системе. В течение четырех часов мы зарегистрировали более чем 500 000 попыток просканировать системы. Все попытки были заблокированы; однако их число говорят о том, как агрессивно и совершенно случайно могут работать подобные инструменты. Ниже приводятся команды для одной из попыток. Здесь мы видим обращение к автоматизированному инструменту luckgo для последовательного сканирования и взлома целых сетей класса В. Если такие действия пройдут незамеченными, они могут нанести ущерб тысячам систем. Этот инструмент находится на сайте http://www.dmkpress.ru, так что вы можете его проанализировать.
Feb 18 18:49:03 honeypot -bash: HISTORY: PID=1246 UID=O tar -xzvf
LUCKROOT. TAR
Feb 18 18:49:06 honeypot -bash: HISTORY: PID=1246 UID=O cd luckroot
Feb 18 18:49:13 honeypot -bash: HISTORY ;JID=1246 UI0=0 ./luckgo 216 210
Feb 18 18:51:07 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 200 120
Feb 18 18:51:43 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 64 120
Feb 18 18:52:00 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 216 200
Feb 18 18:52:06 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 216 200
Feb 18 18:54:37 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 200 120
Feb 18 18:55:26 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 63 1
Feb 18 18:56:06 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 216 10
Feb 18 19:06:04 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 210 120
Feb 18 19:07:03 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 64 1
Feb 18 19:07:34 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 216 1
Feb 18 19:09:41 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 194 1
Feb 18 19:10:53 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 216 1
Feb 18 19:12:13 honeypot -bash: HISTORY: PID=1246 UID=O ./luckgo 210 128
В среде взломщиков разработаны передовые средства распространения этих инструментов и обучения себе подобных работе с ними. Web-сайты и каналы IRC - наиболее популярные способы передачи информации. Для распространения этих инструментов взломщики создают Web-сайты, так что любой может легко найти их в сети Internet. Такие подпольные Web-сайты зачастую организуются на взломанных системах. Администраторы и не догадываются, что их взломанные системы часто используются для распространения информации среди взломщиков. На таких сайтах, как Bugtraq (http://www.secutityfocus.com), можно найти открыто представленные инструменты. Для обучения работе с ними зачастую публикуются простые и подробные инструкции (HOWTO), из объяснений которых даже самый неопытный пользователь поймет, как взламывать уязвимые системы. В качестве примера можно назвать HOWTO no Named NXT, которая распространяется среди взломщиков (см. приложение С). Такие инструкции обычно прилагаются к самим инструментам. Еще одно средство связи - это IRC (Internet Chat Relay). Программа IRC позволяет взломщикам общаться в режиме реального времени. Именно здесь опытные хакеры обучают новичков тому, как использовать инструменты или учетные записи взломанной системы. IRC также дает возможность передавать файлы в режиме реального времени. Взломщики могут быстро связаться друг с другом и поделиться последней информацией об уязвимых местах и технических приемах. В главе 11 приводится пример того, как взломщики пользуются IRC для обмена инструментами и тактическими приемами. Еще одно средство общения и распространения информации -публикации. В электронных публикациях, таких как «Phrack» (http:// www.phrack.com), подробно описываются новейшие технологии. Ряд изданий выпускается в бумажном варианте, например журнал 2600 (http:// www.2600.com).
