Что такое Back Orifice? И почему ее стоит
бояться?
Эта скромная программулька размером всего в 120k(!) является "троянским конём". Может она не слишком многое - "всего лишь" предоставляет анонимному удаленному пользователю полный контроль над Windows9x. Судите сами: доступ к жесткому диску жертвы через браузер; редактирование реестра; полный контроль над файловой системой; отчёт о введённых паролях; копия экрана; просмотр сетевых ресурсов, подключенных к жертве; управление списком процессов; удалённая перезагрузка; удалённое выполнение программ с возможностью перенаправления консоли клиенту (своего рода телнет). Приведенный список возможностей не полон, так что Back Orifice почти серьёзно можно рекомендовать сетевым администраторам в качестве бесплатной альтернативы таким недешевым продуктам, как Landesk Management Suite или Managewise, точнее, входящим в эти пакеты средствам доступа к дэсктопам юзеров. Загрузить BO и найти полную информацию можно по адресу www.cultdeadcow.com. Весьма примечательной была реакция MicroSoft на Back Orifice: "Мы не придаем большого значения появлению этой программы и не думаем, что на неё следует обращать внимание нашим клиентам". С этой цитатой можно также познакомиться по адресу выше. В самом деле - ну "через Интернет", ну "анонимный", ну "полный контроль", но BackOffice-то лучше! А если пользователя вдруг взволновало, что некий anonymous будет втихаря чужой реестр редактировать, так это - проблемы пользователя... Как и все средства удаленного администрирования, BO состоит из двух частей - сервера и клиента. Сервер запускается один раз на машине жертвы, он быстро отрабатывает и удаляет себя, но до удаления он успевает спрятаться в недрах Win95 так, что найти его следы нелегко. Распространяется BO очень просто - ускорители IRC", "патчи к ICQ", причем одного и того же размера - 120k... Клиенты Back Orifice существуют под Unix, OS/2 и Win32. Кроме того, сервер запросто предоставит любому удаленному браузеру жесткий диск, на котором окопалась Win9x. Он же позволит из браузера сделать download или upload... Клиент представляет собой текстовую оболочку со встроенной помощью, достаточно удобную в использовании. Так что если вы обнаружили у себя BO, то смело можете считать, что свой компьютер и все, что на нем находится, вы уже поделили с неизвестным (вам) агрессором.
Что такое sniffer и насколько он
опасен?
В отличие от телефонной сети, компьютерные сети используют общие коммуникационные каналы. Совместное использование каналов подразумевает, что узел может получать информацию, которая предназначается не ему. "Отлов" этой информации в сети и называется sniff'ингом. Наиболее популярный способ соединения компьютеров - сети Ethernet. Обмен данными по протоколу Ethernet подразумевает посылку пакетов всем абонентам сети одного сегмента. Заголовок пакета содержит адрес узла-приемника. Предполагается, что только узел с соответствующим адресом может принять пакет. Однако если какая-то машина в сети принимает все проходящие пакеты, независимо от их заголовков, то говорят, что она находится в promiscuous mode (смешанном режиме). В обычной сети информация о паролях передается в виде простого текста, но для хакера не сложно перевести одну из машин подсети в promiscuous-режим (предварительно получив на ней права root'a) и, вытягивая и анализируя пакеты, проходящие по сети, получить пароли к большинству компьютеров сети.
Sniff'инг - один из наиболее популярных видов атаки, используемых хакерами.
Если сниффер запускается на машине, то он переводит сетевой интерфейс в promiscuous mode (смешанный режим), при котором машина принимает все пакеты, передаваемые по сети. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединения только с той машиной, на которой он запущен. В открытом виде пароли передаются по сети в реализации протоколов TCP/IP: Telnet (23 port) Pop3 (110 port) Ftp (21 port) Pop2 (109 port) Imap2 (143 port) Rlogin (513 port) Poppasswd (106 port) netbios (139 port) icq (1024-2000 UDP). Соответственно лог-файл сниффера выглядит следующим образом:
[Starting sniffing.......] victim.net.ru => pop3.net.ru [110] USER victim PASS PaSsWorD STAT QUIT ----- [RST] 10.0.0.19 => 10.0.0.1 [23] % #'$ANSI!root r00t9xZx -----+ [Timed Out]
Если наглядно показать администратору или пользователю, насколько просто перехватывать их пароли, передаваемые через незащищенные сервисы и каналы связи, то это будет более эффективным, чем тысячу раз убеждать их в необходимости использования crypto-средств.
Горячие темы