*Drive*- Здесь рулят padonki

*Drive* - Counter Strike Source
It is currently 22 Jan 2019, 20:30

All times are UTC + 3 hours [ DST ]




Post new topic Reply to topic  [ 1 post ] 
Author Message
 Post subject: АНТИСКАН
PostPosted: 26 Dec 2008, 01:51 
Offline
padonki
User avatar

Joined: 14 Aug 2006, 20:43
Posts: 3658
Location: Солнцево
Has thanked: 9 times
Have thanks: 45 times
kleZ

Вот углубились мы тут в, несомненно, важнейшую тему сканирования, а про одну хитрую фишку чуть не забыли. Админы – те еще черти – защищая свои системы, иногда такого напридумают... Вот, например, научились бороться с нашим братом обманными методами, наплевав на то, что порядочному админу нельзя опускаться до такого уровня. Оказывается, еще как можно! А как еще назвать то, что многие серьезные админы используют сегодня в свих системах защиты deception (обман)?

Самый простой пример - это замена баннеров стандартных сервисов. Заходишь ты на какой-нибудь ftp с надеждой определить по приглашению, что за система установлена на серваке. Он тебе радостно кричит: "wu-ftp 2.1.7-12 on AIX 5L 5.0. Welcome!!". Ты потираешь ручки, начиная уже искать в базах эксплоитов соответствующую версию wu-ftp. А на самом деле никакой это не wu-ftp и AIX'ом там и не пахнет – просто хитрюга-админ изменил приглашение ftp-сервера таким образом, чтоб по всем параметрам было похоже на wu'шник под AIX'ом. При чем делается это элементарно – надо только отредактировать один проклятый файл!

Но это еще не все, далеко не все. Почесав репы, доблестные труженники безопасности решили, что надо бы все это дело как-то автоматизировать, а то ведь удобная фишка. Почесали, почесали, да и накодили прогу, которую в наглую называли DTK (Deception ToolKit). То есть, набор для обмана. Расскажу вкратце, что это такое. DTK может повесить на любой порт своего демона, который ничего не умеет делать, кроме как брать из из стандартного ввода данные (то что вводит клиент, законнектившийся на этот порт) и выводить ответы в стандартный вывод (направляется прямиком клиенту). При чем поведение демона контролируется специальным скриптом-сценарием. В таком сценарии можно описать ЛЮБУЮ реакцию демона на ЛЮБОЙ пользовательский ввод. Все это делается настолько просто, что аж злость берет! Алгоритм работы демонов DTK следующий: если от пользователя пришел такой-то текст, вывести ему на экран сякой-то текст. Вот и все. Но фишка в том, что проявив терпеливость, любой админ может сэмулировать таким образом работу практически любого сервиса. Прикинь, заходишь, опять же, на ftp и думаешь: "Дай попробую дефолтовые логин/пароль – авось, админ-полный лох". Вводишь, а это на самом деле не ftp-сервер с тобой общается, а фальшивый DTK'шный демон. На твои дефолтовые логин/пароль он радостно отвечает: "Authentication complete" и ждет дальнейших команд. Ты думаешь: "Блин, а может и это прокатит?" и пишешь "get /etc/passwd". B действительно, катит – только это не настоящий passwd, а подделка, которую ты будешь еще две сутки расшифровывать (так как он никогда и не был зашифрован, а данные в нем – не пароли, а обычный мусор). Вот такие вот пироги :(.

Но такого злостного надувательства админам мало. Знаешь, что некоторые делают с помощью DTK? Они просто берут и открывают на своем серваке около сотни smtp-сервисов, один из которых настоящий, а все сотальные – DTK'шные демоны. Вот и пойди гадай, какой из них "BINGO"... Легче забить и пойти заниматься чем-нибудь еще, чем лазить на каждый из этой сони портов и проверять, похож ли он на реальный или все-таки DTK (если хорошенько присмотреться, можно все же отличить подделку от настоящего сервера – DTK не может полностью, до мелочей эмулировать настоящий сервис – слишком гиморные при этом скрипты-сценарии получатся).


http://www.xakep.ru/magazine/xs/023/054/1.asp

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Image


Top
 Profile  
 
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 1 post ] 

All times are UTC + 3 hours [ DST ]


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  


Powered by -=PadonaK=- ®, Forum Drivesource.ru, Статситика игрового ресурса *Drive* HLstatsX, Система забаненых игроков Sourcebans

drivesource.ru ® 2006-2019