В период с 20 сентября до 20 октября 2000 года команда Honeynet Project обнаружила 524 неповторяющихся случая сканирования NetBIOS нашей Honeynet (см. приложение D). Это сканирование заключалось в зондировании UDP порта 137 (NetBIOS Naming Server), за которым обычно следовало сканирование TCP порта 139 (NetBIOS Session Server). На основании большого количества случаев сканирования определенного сервиса было совершенно понятно, что что-то происходит, поэтому мы решили узнать, что именно. Во всех случаях сканирование было обращено к системам на базе Windows, так что целью, скорее всего, являлись домашние компьютеры с DSL или кабельным соединением. Мы не говорим о корпоративном шпионаже или повреждении Web-серверов; мы говорим о том, что мишенью становились обычные пользователи Internet. Нам стало любопытно, кто производит это сканирование, какова его цель и почему предпринимается так много попыток. Было ли это скоординированное действие; или это работа червяков? Для того чтобы получить ответы на эти вопросы, к коллекции honeypot добавилась еще система на базе ОС Windows 98. Мы установили систему по умолчанию и включили опцию совместного использования диска С (системного). Это единственный раз, когда мы сделали систему менее защищенной по сравнению с инсталляцией по умолчанию. Однако такая функция часто применяется пользователями, которые не осознают, какому риску они себя подвергают. Honeypot с ОС Windows 98 может показаться не слишком эффектной, но установка подобной системы преследовала две цели:
1. ОС Windows 98 установлена на очень многих системах, соединенных
с Internet, и их число стремительно возрастает. Как правило, они прак
тически не защищены. Например, в них применяется совместное ис
пользование жестких дисков. Хуже того, с этими системами работают
неопытные или беспечные пользователи. Люди не осознают, какому
риску повергаются эти системы, так как у многих установлена выделен
ная линия для соединения с Internet, системы постоянно находятся
в режиме реального доступа и никто за ними не наблюдает.
2. Это был первый взлом нашей системы на базе Microsoft. План состо
ял в том, чтобы начать с простого и извлечь из этого уроки.
31 октября 2000 года была установлена система с разрешенным совместным доступом, которая затем была подключена к Internet, а мы сели и стали ждать. Времени потребовалось немного.
